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まえがき 


本書に記載されている情報は、 ThinkVantage ® Client Security Solution および指紋認 
証ソフトウェアがインストールされている Lenovo ® コンピューターを対象としてい 
ます。 


Client Security Solution と指紋認証ソフトウェアの目的は、クライアント.データを 
保護することじよってお客様のシステムを保護し、セキュリティー•ブリーチ（抜 
け穴）を犯そうとする試みを食い止めることです。 

r Client Security Solution デプロイ メント* ガイド] では、1台な上のコンピュ ■ —夕 
一に Client Security Solution および指紋認証ソフトウェアをインストールするため 
に必要な情報と、 IT および会社の方針をサポートするためにカスタマイズ可能な管 
埋機能ツールについての説明やシナリオが記載されています。 

本書は、 IT 管埋者、または ThinkVantage Client Security Solution および指紋認証 
ソフトウェアを組織内の PC にデプロイする担当者を対象としています。ご提案ま 
たはコメントは、 Lenovo 認定担当者にご連絡ください。本書は定期的に更新されま 
す。 胃 最新の資料についてはな下の Lenovo Web サイトで確認できます。 
http :// www -307. ibm . com / pc / support / site . wss / TVAN - ADMIN.html 


Client Security Solution および'指紋認証ソフトウエアのワ'ークスぺ'ースに組み込まれ 
ているさまざまなコンポーネントの使用に関する質問および情報は、 Client Security 
Solution および指紋認証ソフトウエアに付属のオンライン-ヘルプ-システムおよ 
び ユーザー. ガイドを参照してください。 
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第 1 章概要 


本章では 、 Client Security Solution および指紋認証ソフトウェアの概要を示します。 
本デプロイメント•ガイドで説明されているテクノロジーは、 PC の使い勝手と自己 
完結性を向上させ、展開を促進し単純化する強力なツールを提供するので、 IT プロ 
フェッショナルの方に大きなメリットをもたらします。 ThinkVantage テクノロジー 
の支援により、 IT プロフェッショナルの方は、個別の PC の問題を解決する時間を 
短縮できるので、本来の作業に多くの時間を費やすことができるようになります。 


Client Security Solution 

Client Security Solution ソフトウエアの第一の目的は、お客様が資産としての PC 
を保護し、 PC 上の機密データを保護し、さらに PC がアクセスするネットワーク 
接続を保護することを補助することです 。 （TCG (Trusted Computing Group ) という 
業界団体が仕様を定めている TPM (Trusted Platform Module ) を含む Lenovo シス 
テムの場合 、 Client Security So 山 tion ソフトウエアは、システムのトラステッド•ル 
ートとして八ードウエアを活用します。システムにエンべデッド*セキュリティ 
一. チップが含まれて いない 場合 、 Client Security Solution は、システムの信頼のル 
ートとしてソフトウエア-ベースの暗号化鍵を活用します。） 

Client Security Solution 8.3 には、な下の機能が含まれています。 

• Windows ® パスワードまたは Client Security Solution パスフレーズによるユーザ 
一認証の保護 

Client Security Solution は、認証の際にユ'—ザーの Windows パスワ'ードまたは 
Client Security Solution パスフレーズを受け入れるように構成できます 。 Windows 
パスワードの場合は Windows を使用するため、便利で管理が容易です 。 Client 
Security Solution パスフレーズではセキュリティーが強化されます。どちらの認 
証方式を使用するかは管埋者が選択でき、この設定はユーザーが Client Security 
Solution に登録した後でも変更することが可能です。 

-指紋によるユーザー認証 

内蔵、または USB 接続の指紋センサーを活用し、パスワードで保護されたアプ 
リケー シヨ ンに対してユーザーを認証します。 

• スマート.力ードによるユーザー認謡 

ユーザー認証に登録済みのスマート.カードを活用します。 


• 多層のユーザー認記による Windows ログオンおよびさまざまな Client Security 
So 山 tion 操作 

さまざまなセキュリティー関連操作に対して複数の認証装置 （ Windows パスワー 
ド / Client Security パスフレーズ、指紋、およびスマート•カード）を定義しま 
す。 
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-パスワード管理 


ユーザー ID やパスワードなどの重要なログオン情報をま全に管埋し、保存しま 
す。 


-パスワード/パスフレーズの復元 

パスワードおよびパスフレーズの復元を利用して、 Windows パスワードまたは 
Client Security Solution パスフレーズを忘れた場合でも、事前に構成されたセキュ 
リテイーの質問に答えることじより、 Windows にログインし 、 Client Security 
So 山 tion クレデンシャルにアクセスすることができます。 


-セキュリティー設定の監査 

ユーザーが、詳細なワークステーション • セキュリティー設定のリストを表示 
し、定義された規格に準拠するように変更できるようにします。 

-ディジタル証明書の転送 


Client Security Sol 山 ion は、ユーザーとマシンの証明書の秘密鍵を保護します。 
Client Security Solution を使用することにより、既存の証明書の秘密鍵が保護され 
ます。 


-認記のポリシー管巧 

管理者は 、 Windows ログオン 、 Password Manager , および証明書の操作といった 
アクションの場合、認証にどの装置 （ Windows パスワード、迎 ent Security 
Solution パスフレーズ、指紋、またはスマート•カード）が必要かを選択するこ 
とができます。 

Client Security Solution パスフレーズ 

Client Security Solution パスフレーズは 、 Client Security Solution にあ張セキュリテ 
イーを提供する、ユーザー認証のオプション機能です 。 Client Security So 山 tion パ 
スフレーズの要件は、な下のとおりです。 

• 8文字な上の長さ 

-数字が1文字な上入っていること 
-最近の3回のパス フレーズと 異なること 
-反復文宇は2文字な内 
-先頭に数字を使用しない 
-末尾に数字を使用しない 
• ユーザー のを含めない 

• 現在のパスフレーズを設定してから3日な内は変更しない 
-現在のパスフレーズと同一の文字を連続して3文字な上使用しない 

• Windows パスワードと異なる 

Client Security Solution パスフレーズを知っているのは個々のユーザーだけであり、 
Client Security So 山 tion パスフレーズを忘れた場合に復元する唯一の方法は 、 Client 
Security Solution パスワード復元機能の活用です。ユーザーが復元のための質問に対 
する回答を忘れてしまった場合 、 Client Security Solution パスフレーズで保護された 
データを復元する方法はありません。 
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Client Security パスワードの復元 

このオプション機能を使用すると、登録された Client Security ユーザーは、 

Windows パスワードや Client Security パスフレーズを忘れた場合に、3つの質問に 
正しく答えることにより、復元することができます。この機能が有効である場合、 
ユーザーは、10の質問の中から3つを選択し、それぞれの質問に対する回答を入 
力します。 ユーザーが Windows パスワード や Client Security パスフレーズを忘れ 
た場合は、これら3つの質問に回答して、そのパスワードやパスフレーズを自分で 
リセットするというオプションが用意されています。 


注： 

1. Client Security パスフレーズを使用する場合 、 Client Security パスワードの復元 
機能は忘れたパスフレーズを復元するための唯一のオプションです。ユーザー 
は、それら3つの質問に対する回答を忘れた場合、登録ウィザードを再実行し 
なくてはならず、前の Client Security 保護データはすべて失われます。 

2. 迎 ent Security を使用して Rescue and Recovery ® ワークスペースを保護する場 
合、「パスワード復元」オプションによって、ユーザーの Client Security パスフ 
レーズおよび/または Windows パスワードが実際に表示されます。パスフレーズ 
またはパスワードが表示されるのは 、 Rescue and Recovery ワークスぺ'—スが 
Windows パスワードの変更を自動的に実行する機能を持たないためです。ワイ 
ヤレス（ネットワークに接続されていないローカル•キャッシュ-ドメイン）ユ 
ーザーが Windows ログオンでこの機能を実行する場合にも、パスフレーズまた 
はパスワードが表示されます。 

Client Security Password Manaaer 

Client Security Password Manager を使用すると、ユーザーの、パスワード、および 
その他の個人情報などの、忘れやすいアプリケーションや Web サイトの情報を管 
理することができます 。 Client Security Password Manager は、ユーザーのアプリケ 
ーションや Web サイトへのアクセス全体がセキュアに保たれるように 、 Client 
Security So 山 tion じよってユーザーの個人情報を保護します。また 、 Client Security 
Password Manager プログラムでは、 1 つのパスワードまたはパスフレーズを覚えて 
おく力、指紋またはスマート•カードを使用すればよいため、時間と労力が節約さ 
れます。 


Client Security Password Manager を使用すると、な下の機能を実行できます。 

• Client Security Solution ソフトウェアによるすベての保を晴報の暗号化 

Client Security Solution によってユーザ'—のすベての情報が自動的に暗号化されま 
す。これにより、重要なパスワード情報が、迎 ent Security So 山 tion 暗号化鍵によ 
って保護されます。 

• ユーザー ID とパスワードの自動入力 

アプリケーシヨンまたは Web サイトにアクセスする際に、ログイン-プロセス 
を自動化します。ログオン情報が Client Security Password Manager に入力されて 
いる場合は 、 Client Security Password Manager が自動的に必須フィールドへの記 
入を行い、 Web サイトまたはアプリケーションに実行依頼します。 
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• Client Security Password Manager インターフェースを使用した項目の 編集 


アカウント項目を編集し、すべてのオプション機能を1つの使いやすいインター 
フェースにセットアップすることができます。このインターフェースにより、パ 
スワードと個人情報の管埋を迅速かつ容易に斤えるようになります。ただし、変 
更に関連する項目のほとんどは Client Security Password Manager が自動的に検出 
できるため、ユーザーはさらに簡単に項目を更新できます。 

-追加ステップを必要としない情報の保を 

Client Security Password Manager は、重要情報が特定の Web サイトまたはアプ 
リケーションに送信されると、それを自動的に検出できます。重要情報を検出す 
ると、 Client Security Password Manager はユーザーにプロンプトを出して情報を 
保存するように促し、重要情報の保存プロセスを単純化します。 

-セキュア•スクラッチ•パッドへの情報の保を 


Client Security Password Manager を使用して、ユーザーはテキスト•データをセ 
キュア •スクラッチ•パッ ドに保巧することができます。ユーザーのセキュア- 
スクラッチ. パッ ドは、他の Web サイトやアプリケーションの項目と同じレべ 
ルのセキュリティーで保護できます。 

-ログイン情報のエクスポートとインポート 

重要な個人情報をエクスポートして、その情報を PC 間で巧全に移動させること 
ができます。 Client Security Password Manager からログイン情報をエクスポート 
すると、パスワードで保護されたエクスポート•ファイルが作成されます。この 
ファイルは、リムーバブル•メディアに保ちすることができます。このファイル 
を使用して、あらゆる場所でユーザーの個人情報にアクセスしたり、 Client 
Security Password Manager を使用して項目を別の PC にインポートします。 


注: 


- Client Security Solution バージョン 7.0 および 8 .x のエクスポート.ファイル 
のインポートは完全にサポートされています。 Client Security Solution バージ 
ョン 6.0 の場合は、インポートが限定的にサポートされています（アプリケー 
ション項目はインポートされません)。 Client Security Software Solution バージ 
ョン 5 Ax およびこれな前のバージョンは、 Client Security Solution バージョン 
8 .X Password Manager にインポートされません。 

Security Advisor 

Security Advisor を使用すると、現在 PC に設定されているセキュリティー設定の要 
約を表示できます。これらの設定値を使用して、現在のセキュリティー状況を表示 
したり、システム•セキュリティーを強化することができます。表示されるカテゴ 
リーのデフォルト値は、 Windows レジストリーによって変更できます。な下に、セ 
キュリティー.カテゴリーの一例を示します。 

• ハー ドウェア.パスワード 

• Windows ユーザー.パスワード 

• Windows パスワード.ポリシー 
• 保護スクリーン•セーバー 

-ファイル共有 
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証明書転送ウィザード 

Client Security の証明書転送ウィザードは、ソフトウェア • ベースの Microsoft ® 暗 
号サービス.プロバイダーからハードウェア.ベースの Client Security Solution 
CSP に、証明書に関連した秘密鍵を転送するすべてのプロセスをガイドします。転 
送が巧われた後は、秘密鍵が Client Security Solution によって保護されるため、証 
明書を使用する操作はよりセキュアになります。 

ハー ドウェア .パスワードのリ七 ット 

このツールは、 Windows から独立して稼動するセキュアな環境を作成し、忘れてし 
まったパワーオン•パスワードやハードディスク•パスワードをリセットする際に 
役立ちます。 ID は、自分で作成した一連の質問に回答することによって設定され 
ます。パスワードを忘れる前に、このセキュアな環境をできるだけ早く作成してく 
ださい。登録後、ハードディスク上にこのセキュアな環境を作成するまでは、忘れ 
てしまった八ードウェア-パスワードをリセットすることはできません。このツー 
ルは、一部の PC を選択した場合のみ、使用可能です。 

TPM のないシステムのサポート 

Client Security Solution 8.3 は現在、対応するエンべデッド.セキュリティー*チッ 
プのない Lenovo システムをサポートしています。このサポートにより、一貫した 
セキュアな環境を作成するために、全社的な標準インストールを斤うことが可能に 
なります。エンべデッド-セキュリティー-チップのあるシステムはアタックに対 
してより堅固ですが、エンべデッド.セキュリティー.チップのないシステムの場 
合、 Client Security Solution はソフトウェア.ベースの暗号鍵をシステムの信頼性の 
基盤として活用します。また、追加のセキュリティーと機能もシステムにとって有 
益です。 


指紋認証ソフトウェア 

Lenovo が提案する指紋センサーの目的は、パスワードの管埋に関連したコストの削 
減やシステムに対するセキュリティーの強化においてお客様を補助し、お客様が規 
制に対応できるようにすることです。 Lenovo 社の指紋センサーとともに、指紋認 
証ソフトウェアを使用すると、個々の PC およびネットワークでの指紋認証が可能 
になります。 Client Security Solution 8.3 と結合された指紋認証ソフトウェアは、拡 
張機能を提供します。 Client Security Solution 8.3 では、 Think Vantage 指紋認証ソフ 
トウェア 5.9.2 と Lenovo Fingerprint Software 3.3 の両方がサポートされます。こ 
れらはどちらもさまざまなマシン-タイプで使用可能です。 Lenovo Web サイトで 
Lenovo 指紋センサーの詳細を調べたり、指紋認証ソフトウェアをダウンロードした 
りすることができます。 

指紋認証ソフトウェアは、な下の機能を提供します。 

• Client Security Software の機能 

- Microsoft Windows パスワードの置換： 

パスワードをお客様の指紋に置き換えて、容易で高速、かつ巧全なシステム • 
アクセスを提供します。 
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- BIOS パスワード（パワーオン•パスワードとも呼ばれます）およびハードデ 
ィスク-パスワードの置換： 

パスワードをお客様の指紋と置き換えて、ログオン-セキュリティーと利便性 
を高めます。 

- SafeGuard Easy でドライブ全体を暗号化するための起動前指紋認記： 

指紋認証を使用して、 Windows の起動前にハードディスクを暗号化解除しま 
す。 


- BIOS および Windows へのシングル-スワイプ-アクセス： 

起動時に指紋をセンサーに読み达ませるだけで、 BIOS と Windows にアクセ 
スすることができるので、貴重な時間を節約することができます。 

- Client Security Solution との統合： Client Security Solution Password Manager 
と併用して、 TPM を活用します。ユーザーは、指紋センサーに読み込ませて 
Web サイトにアクセスし、アプリケーシヨンを選択します。 

-管理者機能 

-セキュリティー•モードの切り替え： 

管理者は、保護モードと簡易モードを切り替えて、制限ユーザーのアクセス権 
限を変更することができます。 

• セキュリティー機能 

-ソフトウェア•セキュリティー： 

システムに保存する際や、読み取り装置からソフトウェアに転送する際に、強 
い暗号化により、ユーザー-テンプレートを保護します。 

-ハードウェア•セキュリティー： 

セキュリティー読み取り装置には、指紋テンプレート、 BIOS パスワード、お 
よび暗号鍵を保存し保護するコプロセッサーがあります。 
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第 2 章インスト ー J レ 


本章では 、 Client Security Solution および指紋認証ソフトウェアをインストールする 
手順に ついて 説明します 。 Client Security Solution または指紋認証ソフトウェアをイ 
ンストールする前に、インストールするアプリケーションのアーキテクチャーを理 
解する必要があります。本章では、各アプリケーションのアーキテクチャー、およ 
びす ベての プログラムをインストールする前に必要な追加情報に ついて 説明しま 
す。 


Client Security Solution 

Client Security Solution のインストール.パッケージは 、 InstallShield 10.5 Premier 
によって Basic MSI プロジェクトとして開発されました。 InstallShield は、 

Windows インストーラーを使用してアプリケーションをインストールします。これ 
により、管埋者には、コマンド•ラインからのプロパティ値の設定などの、インス 
トールをカスタマイズする多くの機能が提供されます。この章では 、 Client Security 
Solution セットアップ•パッケージの使用および実行方法について説明します。よ 
り正しく埋解するために、パッケージのインストールを開始するために、章全体を 
お読みください。 

注：これらのパッケージをインストールする場合 、 Lenovo Web サイトの Client 
Security So 山 tion README ファイルを参照してください。 README ファイルに 
は、ソフトウェア•バージョン、サポートされるシステム、システム要件、および 
インストールに役立つその他の考慮事項に関する最新の情報が含まれています。 

インストール 要件 

このセクションでは 、 Client Security Solution パッケージをインストールするための 
システム要件を説明します。最良の結果を得るために、かの Web サイトにアクセ 
スして、ソフトウェアが最新版であることを確認してください。 
http :// www . lenovo . coin/support 


Client Security Solution をインストールするには 、 Lenovo PC がかの要件を満たし 
ているか、それな上であることが必要です。 

• オペレーテイング.システム ： Windows 7 

• メモリー： 256 MB な上推奨 

-共用メモリー設定の場合、共用メモリーの BIOS 設定を8 MB な上に設定す 
る必要があります。 

-非共用メモリー設定の場合、非共用メモリーは120 MB な上必要です。 

• Internet Explorer ® 5.5 な上がインストールされていなければなりません。 

-ハードディスク-ドライブ空き容量300 MB 。 

-解像度800 X 600および24ビット-カラーをサポートする VGA 対応ビデオ。 
• ユーザーは Client Security So 山 tion をインストールするための管埋者権限を持つ 
ている必要があります。 


◎ Copyright Lenovo 2008, 2009 
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注 ： Windows Server ® 2003への Client Security Solution インストール* パッケ'ージ 
のデプロイはサポートされていません。ただし 、 Windows Server 2003からの証明 
書の要ボはサポートしています。 |80 ページの 『 TPM での鍵生成を使用した証明書 
の生成』 > 参照してください。 


カスタム - パブリック-プロパティ 

Client Security Software プログラムのインストール • パッケージには、インストー 
ルの実行時にコマンド.ラインで設定できる、一連のカスタムパブリック.プロパ 
ティが含まれています。次の表に、 Windows オペレーティング*システムのカスタ 
ム.パブリック-プロパティを示します。 


表 t パブりック-プロパティ 


プロパティ 

説明 

EMULATIONMODE 

TPM がを巧する場合でも、強制的にエミュ 
レーシヨン-モードでインストールを実行す 
るように指定します。エミュレーシヨン•モ 
-ドでインストールするには、コマンド•ラ 
インで EMULATIONMODE=l と設定しま 
す。 

HALTIFTPMDISABLED 

TPM が使用不可状態で、インストールがサ 
イレント.モードで実行されている場合、デ 
フォルトではインストールをエミュレーシヨ 
ン.モードで進めます。インストールをサイ 
レント•モードで実行するときは、 
HALTIFTPMDISABLED= 1 プロパティを使用 
して、 TPM が使用不可の場合にインストー 
ルを停止し ます。 

NOCSSWIZARD 

Client Security Solution のインストール後じ 
Client Security Solution 登録ダイアログが自 
動的じ表示されないようじするじは、コマン 
ド*ラインで NOCSSWIZARD 二 1 を設定しま 
す。このプロパテイは、 Client Security 

Solution はインストールしても、システムの 
構成は後でスクリプトを使用して巧う管理者 
のために構成されています。 

CSS_CONFIG_SCRIPT 

ユーザーがインストールを完了し、再起動し 
た後に構成ファイルを実行するには、 
CSS_CONFIG_SCRIPT 二"が郎 awe" または 
"filename 口ぶぶ wo/yT だ敲定します。 
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まんパブリック . プロパティ f 続を 


プロパティ 

説明 

SUPERVISORPW 

コマンド•ラインで 

SUPERVISORPW=> 口 MvwW と設定する 
と、スーパーバイザー.パスワードが提供さ 
れ、サイレント•インストール-モードでも 
非サイレント•インストール-モードでも、 
チップが使用可能になります。チップが使用 
不可で、インストールをサイレント-モード 
で実行する場合、チップを使用可能じするじ 
は正しいスーパーバイザー-パスワードを入 
力する必要があります。パスワードが正しく 
ないと、チップは使用可能じなりません。 

PWMGRMODE 

Password Manager のみをインストールするじ 
は、コマンド•ラインで PWMGRM0DE=1 
と設定します。 

NOSTARTMENU 

「スタート」イニューじショートカットが生 
成されないようじするには、コマンド.ライ 
ンで NOSTARTMENU 二 1 と設定します。 

CREATESHO 民 TCUT 

項目を「スタート」メニューに追加するに 
は、コマンド-ラインで 
CREATESH0RTCUT=1 と設定します。 


TPM (Trusted Platform Module ) のサポート 

Client Security Solution バージョン 8.3 では、 PC のエンべデッド.セキュリティ 
一. チップである TPM (Trusted Platform Module ) がサポートされています。 
Windows オペレーティング.システムがサポートする TPM が Lenovo PC に組み 
这まれている場合、 Client Security Solution は Windows オペレーティング*システ 
ムに組み込まれているドライバーを使用します。 


TPM はシステムの BIOS によって有効になるため、 TPM を使用できるようにする 
ために再起動が必要になる場合があります。 Windows 7が稼働している場合、シ 
ステムの起動時に TPM を有効にするかどうかの確認がボめられることがありま 
す。 


TPM によっていずれかの機能が実施される前に、最初に所有権を初期化する必要が 
あります。各システムは、 Client Security Solution オプションを制御する1人の 
Client Security Solution 管埋者を持ちます。この管埋者は、 Windows 管埋者権限を 
持っている必要があります。管埋者は XML デプロイメント•スクリプトを使用し 
て初期化することができます。 


システムの所有権が構成された後は、このシステムにログインする追加の各 
Windows ユーザーに、ユーザーのセキュリティー•キーおよびクレデンシャルを登 
録し初期化するためのプロンプトが Client Security セツトアップ-ウイザードによ 
って自動的に出されます。 
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TPM のソフトウェア- エミユレーシヨ ン 

Client Security Solution には、限定されたシステム上で TPM を使用せずに実行する 
オプションが用意されています。この機能は、ハードウェア保護キーを使用する代 
わりにソフトウェア-ベースのキーを使用するな外は同じです。ソフトウェアは、 
TPM に効力を与える代わりに、常にソフトウェア•ベースのキーを使用するように 
強制するスイツチでインストールすることが可能です。このスイツチを使用するか 
どうかはインストール時の決定で、ソフトウェアのアンインストールおよび再イン 
ストールをせずに戻すことはできません。 


TPM のソフトウエア-ェミュレーシヨンを強制する構文はな下の通りです。 


InstallFile.exe "/v EMULATI0NM0DE=1" 

インス ! ル手順およびコマンド - ライン•パラメーター 

Microsoft Windows インストーラーは、コマンド•ライン-パラメーターに よって、 
複数の管理機能を提供します。 Windows インストーラーは、ワークグループによ 
る使用またはカスタマイズのために、アプリケーションまたは製品のネットワーク 
への管埋者用インストールを実行できます。コマンド•ライン-オプションには、 
パラメーターを指定することが必要です。この場合、オプションとパラメーターの 
間にスペースは入れません。例： 
set 叩 . exe /s /v"/qn REB00T="R"" 


は有効ですが、 


setup.exe /s /v ,7qn REB00T="R"" 

は無効です。 

注：インストールを単独で実行すると（パラメーターを指定せずに setup.exe を実行 
すると)、デフォルトでは、インストール終了時にユーザーに再起動を促すプロンプ 
卜が出されます。プログラムを正しく機能させるには、再起動する必要がありま 
す。上記のセクションおよび例のセクションで示すように、サイレント•インスト 
ールでは コマン ド•ライン-パラメーターを使用して再起動を遅らせることができ 
ます。 


Client Security So 山 tion インストール-パッケージの場合、管埋者用インストール (; 
よりインストール-ソース-ファイルが指定された場所に解凍されます。 

管埋者用インストールを実行するには、セットアップ•パッケージをコマンド•ラ 
インから / a パラメーターを使用して実行します。 
setup.exe /a 


管埋者用インストールは、管巧ユーザーにセットアップ-ファイルの解凍先を指定 
するようプロンプトを出すウィザードを表示します。デフォルトの解凍先は C ザで 
す。じ¥な外のドライブ（その他のローカル.ドライブ、または割り当てられたネッ 
ト ワーク. ドライブなど）の新しい場所を選択することもできます。新しいフォル 
ダーも、この手順で作成できます。 
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管理者用インストールをサイレント•インストールで実行する場合、解凍先の場所 
を指定するために、コマンド-ラインで乂のようにパブリック-プロパティ 
TARGETDIR を設定することができます。 
set 叩 . exe /s /v'Vqn TARGETDIR=F:¥TVTRR" 


または 


msiexec.exe /i "Client Security - Password Manager.msi" /qn TARGERDIR=F:¥TVTRR 

注：最新バージョンの Windows インストーラーを使用していない場合、 Windows 
インストーラー•エンジンが最新バージョンに更新されるように setup.exe ファイル 
が構成されます。 Windows インストーラー•エンジンの更新の際、管理者用の展開 
インストールであってもシステムを再起動するようにプロンプトが出されます。こ 
の状態の場合に再起動しないようにするには、 Windows インストーラーの 
REBOOT プロパティを使用できます。 Windows インストーラーが最新バージョン 
である場合、 setup.exe ファイルは Windows インスト'ーラー•エンジンの更新を試 
巧しません。 

管理者用インストールが完了した後、管埋者はソース-ファイルをカスタマイズ 
(たとえば、レジストリーに設定値を追加）することができます。 

な下のパラメーターと説明は、 InstallShield 開発者のヘルプ文書に記載されていま 
す。ま本 MSI プロジェクトに適用されないパラメーターは、除かれています。 

{列： [ rescue ] mai 比 ox = % y %¥ antidote , c:¥antidote 


ま 2 . パラメーター 


パラメーター 

説明 

/a :管理者用インストール 

/a スイッチを指定すると、 setup.exe で管理 
者用インストールが実行されます。管巧者用 
インストールは、データ•ファイルをユーザ 
一が指定したディレクトリーにコピー（せよ 
び解凍）しますが、ショートカットの作成、 
COM サーバーの登録、アンインストール- 
ログの作成は行いません。 

/X :アンインス1■'ール-モード 

/x スイッチを指定すると、 setup.exe は K 前 
じインストールした製品をアンインストール 
します。 

/S :サイレント-モード 

コマンド setup.exe /s を実斤すると、基本 

MSI インストール*プログラム用の 
setup.exe 初期設定ウィンドウは表示されず、 
応答ファイルは読み取られません。基本 MSI 
プロジェクトでは、サイレント•インストー 
ルの攝合、応答ファイルは作成も使用もされ 
ません。基本 MSI 製品をサイレントで実行 
するじは、コマンド*ライン setup.exe /s 
/v/qn を実巧します。（基本 MSI のサイレン 
卜.インストールのパブリック-プロパティ 
値を指定する場合は、 setup.exe Is /v7qn 
INSTALLDI 民 =D:¥Destination" などのコマン 
ドを使用できます。） 
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ま 2 . パラメーター f 続を 


パラメーター 

説明 

/v : Msiexec への引数の受け渡し 

/ v 弓1数を使用して、 msiexe.exe (こコマン 
ド.ライン.スイッチとパブリック.プロパ 
ティの値を渡します。 

/L :言語のセットアップ 

ユーザ— は、んスイッチと10進言語の 
を使用して、複数言語インストール•プログ 
ラムで使用する言語を指定します。たとえ 
ば、ドイツ語を指定するコマンドは setup.exe 
/ L 1031 です。 

/w :待機 

基本 MSI プロジェクトで引数 / W を指定す 
ると、 setup . exe は、インスト^ールが完了する 
のを待ってから終了します。バッチ•フアイ 
ルで / w オプションを使用すると、 setup.exe 
のコマンド-ライン引数全体を start /WAIT 
で開始することができます。正しくフォーマ 
ットされたコマンドの使用例は、次のとおり 
です。 

Start /WAIT setup.exe /w 


msiexec.exe <D^f^ 

カスタマイズした後に解凍したソースからインストールするには、 ユーザーはコマ 
ンド‘ラインで msiexec . exe を実行し、解凍された *. MSI ファイルの名前を引き渡 
します。 msiexec.exe は、 インストール•パッケージを読み取り、製品をターゲット 
PC にインストールするためじ使用する Windows インストーラーの実行可能プログ 
ラムです。 

msiexec /i "C:¥li/zA7£/oh^sFoZc/er¥Profi 1 esWserName ^ 

Personal¥MySetups¥project name^product configuroiion 等 release nom 色等 
DiskImages¥Diskl¥prodw け name . msi " 


注：上記のコマンドを、円記号の後にスペースを入れずに 1 斤として入力します。 

次の表では、 msiexec . exe で有効なコマンド-ライン•パラメーターと、その使用方 
法を説明します。 

まえコマンド.ライン. パラメーター 


パラメーター 

説明 

/I package 

このフォーマツトは製品のインストールに使用します。 

または 

Othelloimsiexec /i "C:¥A/i/?tyo^^sFoZc/er¥Profi 1 es¥ 

product code 

UserName ^ Persoua ] ¥MySetups 


¥0thello¥Trial Version¥ 


Release¥DiskImages¥Diskl¥ 


Othello Beta.msi" 


製品コードとは、製品のプロジェクト.ビューの製品コー 
ド-プロパティで自動的に生成されるグローバルー意識別子 
(GUID) のことです。 
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まえコマンド•ライン. パラメーター （続を) 


パラメーター 

説明 

/a package 

/ a オプションじより、管理者権限を持つユーザーは製品をネ 
ットワーク上にインストールできます。 

/X package まに (3^ product 

code 

/ X オプションは、製品をアンインストールします。 

fL [ilwlelair lulclmlplvl +] log 

file 

んオプションを使用して作成すると、ログ•ファイルへの 
パスが指定されます。な下のフラグは、ログ•ファイルじ記 
録する情報を示しています。 

• i は、状況メッセージをログに記録します 

• W は、致命的でない警告メッセージをログに記録します 

• e は、すべてのエラー.イッセージをログに記録します 

• a は、アクション•シーケンスの開始をログに記録します 

• r は、アクション固有のレコードをログに記録します 

• U は、ユーザー要ホをログに記録します 

• C は、初巧ユーザー.インターフェース.パラメーターを 
ログじ記録します 

• m は、メモリー不足メッセージをログに記録します 
• pH 、 端末設定をログじ記録します 

• V は、冗長出力設定をログに記録します 

• +は、既をファイルに付加します 

• * は、すべての情報を（冗長出力設定を除いて）ログに記 
緑できるワイルドカード文字です 

/q [nibirlfl 

/ q オプションを臥下のフラグと併用して、ユーザー•イン 
ターフェース.レベルを設定します。 

• q または qn は、ユーザー•インターフェースを作成しま 
せん。 

• qb は、基本ユーザー•インターフェースを作成します。 

下記のユーザー•インターフェース設定じより、インストー 
ル終了時にモーダル-ダイアログ-ボックスが表示されま 
す。 

• qr は、縮小ユーザー•インターフェースを表示します。 

• qf は、完全なユーザー•インターフェースを表示しま 
す。 

• qn + は、ユーザー*インターフェースを表示しません。 

• qb + は、基本ユーザー*インターフェースを表示します。 

/? または化 

いずれかのコマンドじより、 Windows インストーラーの著 
作権情報が表示されます。 
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表えコマンド•ライン. パラメーター (統を 


パラメーター 

説明 

TRANSFORMS 

TRANSFORMS コマンド•ライン•パラメーターを使用し 
て、基本パッケージじ適用する変換を指定します。 

msiexec /i "C ••斗 Windows Folder 等 

ProTi1 es¥£yser/Vo/ne¥Persona i 
¥MySetups¥ 

Your Project Name¥Trial Version¥ 

My Release-1 
¥DiskImages¥Diskl¥ 

ProductName.msi" TRANSFORMS="New Transform l.mst" 

複数の変換をセミコロンで分離できます。 Windows インス 
トーラー.サービスが誤って解釈しないようじ、変換の名前 
にセミコロンを使用しないでください。 

Properties 

すべてのパブリック.プロパティはコマンド-ラインで設定 
または変更できます。パブリック-プロパティはプライべ一 
卜•プロパティと区別され、すべて大文字です。たとえば、 
COMPANYNAME はパブリック*プロパティです。 

コマンド•ラインからプロパティを設定するには、次の構文 
を使用します。 

PROPERTY=VALUE 

COMPANYNAME の値を変更するには、次のように入力しま 
す。 

msiexec /i "C ••等 Windows Folder 等 

Prof り es¥ りが WVcme¥Personal ¥ 

MySetups¥Kot/r Project /Vo/ne¥ 

Trial Version¥My Release-l¥ 

Di sklmages^Di skl^ProductName .ms i '' 

C り MP/l/V 州 / Wf=|| Install Shi eld" 


標準 Windows インストーラーのパブリック • プロパティ 

Windows インストーラーには、一連の標準組み达みパブリック.プロパティがあり 
ます。これらのプロパティをコマンド•ラインで設定して、インストール時の特定 
の動作を指定することができます。下表に、コマンド•ラインで使用される最も一 
般的なパブリック.プロパティについて説明します。 

追加情報については、义の Microsoft Web サイトを参照してください。 
http :// insdnz . microsoft . eom / en - us / library / aa :5 o /437 .aspx 
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次の表に、一般的に使用される Windows インストーラーのプロパティを示しま 
す。 


表 4. Windows インストーラ' 一 のプロパティ 


プロパティ 

説明 

TARGETDIR 

インストール用の宛先のルート-ディレクト 
リーを指定します。管理者用インストールの 
場合、このプロパティは、インストール.パ 
ッケージのコピー先です。 

ARPAUTHORIZEDCDFPREFIX 

アプリケーションの更新チャネルの URL 。 

ARPCOMMENTS 

「コントロールパネル」の「プログラムの 
追加と削除」じ「コメント」を提供します。 

ARPCONTACT 

「コントロールパネル」の「プログラムの 
追加と削除」じ「連絡先」を提供します。 

A 民 PINSTALLLOCATION 

アプリケーションの1ホフオルダーへの完 
全修飾パス。 

ARPNOMODIFY 

製品を変更する機能を使用不可じします。 

ARPNOREMOVE 

製品を削除する機能を使用不可じします。 

ARPNOREPAIR 

「プログラム」ウィザードの「修復」ボタン 
を使用不可じします。 

ARPPRODUCTICON 

インス1ル.パッケージの基本アイコンを 
指定します。 

ARPREADME 

「コントロールパネル」の「プログラムの 
追加と削除」じ README を提供します。 

ARPSIZE 

アプリケーションの推定サイズ （ KB )。 

ARPSYSTEMCOMPONENT 

「プログラムの追加と削除」のリストにアプ 
リケーションを表示しないようじします。 

ARPURLINFOABOUT 

アプリケーションのホーム.ページの 

URL 。 

ARPURLUPDATEINFO 

アプリケーション更新情報の URL 。 

REBOOT 

REBOOT プロパティにより、システムの再 
起動を促す特定のプロンプトが抑止されま 
す。管理者は通常、一連のインストールを行 
う際にこのプロパティを使用して、複数の製 
品を同時にインストールし、最後に一度だけ 
再起動します。インストール終了時の再起動 
を使用不可じするじは、 REBOOT =" R " と設 
定します。 


インス!ル-ログ-ファイル 

Client Security Solution のインストール•ログ • ファイルは cssinstall 83 xx.log とい 
う名前で、 setup . exe ファイルでセットアップを起動する （ install . exe ファイルをダブ 
ルクリックするか、パラ/ーターなしで実行可能ファイルを実巧するか、 MW パッ 
ケージを解凍して setup . exe ファイルを実巧します）と、 % temp % ディレクトリーに 
作成されます。このファイルには、インストール問題のデバッグに使用できる口 
グ•メッセージが含まれています。このログ.ファイルには、「コントロールパネ 
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ル」の 「プログラムの追加と削除」 アプレットによって実行されたアクティビティ 
一すべてが含まれます。このログ-ファイルは、 MSI パッケージから直接 setup.exe 
ファイルを実行した場合には作成されません。すべての MSI アクションのログ•フ 
ァイルを作成するには、レジストリー内のログ•ポリシーを使用可能にすることが 
できます。これを斤うには、义の値を作成します。 

[HKEY_L0CAL_MACHINE¥S0FTWARE¥Policies¥Microsoft¥Windows¥Insta11er] 

"Logging"="voice 村 armup" 

インス! ' - ルの例 

次の表には、 setup.exe ファイルを使用したインストールの例が示されています。 


表 5. setup.exe ファイルを使用したインストールの例 


説明 

例 

サイレント • インストール（再起動なし） 

setup.exe /s /vVqn REB00T="R"" 

管理者用インストール 

setup.exe /a 

管理用のサイレント • インストール (Client 
Security Software の解凍先を指定)。 

setup.exe /a /s /v'Vqn TARGETDIR="F: 

¥CSS 831111 

サイレント-アンインストール 

setup.exe /s /x /v/qn 

再起動なしのインスト ^ ール (Client Security 
Software の temp サブデイレクトリーじイン 
ストール . ログを作成） 

setup.exe /v"REB00T="R" /l_*v %temp% 
¥cssinsta 1183.10 g" 

ワークスペースをインス 1 -ールしないインス 
トール 

setup.exe /vPDA=0 


次の表は、 Client Security - Password Manager.msi を使用したインストールの例で 
す。 


表 6. Client Security - Password Manager.msi を使用したインスト ー ルの例 


説明 

例 

インス 1 ル 

msiexec /i "C:¥CSS83¥C1lent Security 

Solution - Password Manager.msi" 

サイレント•インストー 
ル（再起動なし） 

msiexec /i "C:¥CSS83¥Client Security 

Solution - Password Manager.msi" /qn REB00T="R" 

サイレント-アンインス 
トール 

msiexec /x "C:¥CSS83¥C1lent Security 

Solution - Password Manager.msi" /qn 


ThinkVantage 指紋認証ソフトウエアのインストール 

ThinkVantage 指紋認証ソフトウエア • プログラムの setup.exe ファイルは、な下の 
方法でインストールできます。 

サイレント•インストール 

ThinkVantage 指紋認証ソフトウエアをサイレント•インストールするには、 
CD-ROM ドライブのインストール•デイレクトリーにある setup.exe ファイルを実 
行します。 
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このときの構文はかのようになります。 

Set 叩 . exe PROPERTY=\/ALUE /q /i 

ここで、 g はサイレント • インストール、 ！ ' はインストールを表します。例： 
setup.exe INbiALLDIR="C:¥Program 卜 i1es¥ThinkVantage fingerprint software" /q /i 

このソフトウェアをアンインストールするには、 /i の代わりにたパラメーターを 
使用します。 

setup.exe INSTALLDIR="C:¥Prograni M 1 es¥ThinkVantage fingerprint software" /q /x 

オプション 

ThinkVantage 指紋認証ソフトウエアではな下のオプションがサポートされていま 
す。 


まス ThinkVantage 指紋認証ソフトウェアでサポ ートされるオプション 


パラメーター 

説明 

CTRLONCE 

コントロール-センターを一度だけ表示しま 
す。デフォルト値は 0 です。 

CTLCNTR 

• 0 =起動時にコントロール•センターを表 
示しません。 

• 1 =起動時にコントロール.センターを表 
示します。 

デフォルト値は 1 です。 

DEFFUS 

. 0 =ユーザーの簡易切り替え (FUS) 設定 
を使用しません。 

- 1= FUS 設定を使用します。 

デフォルト値は 0 です。 

DEVICEBIO 

ユーザーにより使用されるデバイス•タイプ 
を構成します。 

• DEVICEBIO=#3 -デバイス.センサーを使 
用して最初の登録を保存します。 

• DEVICEBIO=#0 -ハードディスク-ドライ 
ブを使用して登録を保存します。 

• DEVICEBIO=#l -コンパニオン.チップを 
使用して登録を保存します。 

INSTALLDIR 

インストール*ディレクトリーを設定しま 
す。 

OEM 

• 0 =サーバー.パスポートまたはサーバー 
認証に関するサポートもインストールしま 
す。 

• 1 =スタンドアロン PC モードのみ（口一 
カル •パスポート） をインストールしま 
す。 

デフォルト値は 1 です。 
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表 7. ThinkVantage 指紋認証ソフトウェアでサポートされるオプション ^続き J 


パラメーター 

説明 

PASSPORT 

デフォルトのパスポート-タイプを設定しま 
す。 

• 1=口ーカル.パスポート 

• 2 =サーバー.パスポート 

デフォルト値は1です。 

POSSSO 

-1=シングル•サインオンを有効にしま 
す。 

• 0 =シングル•サインオンを無効にしま 
す。 

デフォルト値は1です。 

PSLOGON 

• 0 =指紋ログオンを無効じします。 

• 1=指紋ログオンを有効にします。 

デフォルト値は0です。 

REBOOT 

Really Suppress に設定すると、インストー 
ル 中は、 プロンプトを含むすべての再起動を 
行わないようにします。 

SECURITY 

• 1=保護モードでインストールします。 

• 0 =簡易モードでインストールします。 

SHORTCUT 

• 0=起動時じコントロール•センター•シ 
ョートカットを表示しません。 

• 1二起動時のコントロール•センター•シ 
ョートカットの表示を有効じします。 

デフォルト値は0です。 

SHORTCUTFOLDER 

「スター ト」メニューのショートカット•フ 
ォルダーのデフォルト名を設定します。 

非管理者ユーザー特権 


DELETESELF 

• 1=指紋削除を有効じします。 

• 0 =指紋削除を無効にします。 

デフォルト値は1です。 

ENROLLSELF 

• 1=指紋登録を有効にします。 

• 0 =指紋登録を無効にします。 

デフォルト値は1です。 

ENROLLTBX 

• 1=パワーオン用の指紋の選択を有効じし 
ます。 

• 0 =パワーオン用の指紋の選択を無効じし 
ます。 

デフォルト値は1です。 
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表 7. ThinkVantage 指紋認証ソフトウェアでサポートされるオプション ("続き J 


パラメーター 

説明 

IMPORTSELF 

• 1=管理者 K 外のユーザーじよる指紋のイ 
ンポート/エクスポートを有効じします。 

• 0 =管理者 K 外のユーザーじよる指紋のイ 
ンポート/エクスポートを無効じします。 

デフォルト値は1です。 

REVEALPWD 

• 1 = Windows パスワードの復元を有効に 
します。 

• 0 = Windows パスワードの復元を無効に 
します。 

デフォルト値は1です。 

連続再試行に対する保護（ロックアウト設定） 


LOCKOUT 

• 1=連続再試行に対する保護を有効にしま 
す。 

- 0=連続再試行に対する保護を無効にしま 
す。 

デフォルト値は1です。 

LOCKOUTCOUNT 

最大再試巧回数。デフォルト値は5で、任 
意の値を使用できます。 

LOCKOUTTIME 

ミリ秒単位のタイムアウト。デフォルト値は 
120 000で、最大360 000までの任意の値 
を使用できます。 

認証タイムアウト（非活動設定） 


GUITMENABLE 

. 1=ミリ秒単位の認証タイムアウトを有効 
じします。 

. 0 =ミリ秒単位の認証タイムアウトを無効 
じします。 

デフォルト値は1です。 

GUITMTIME 

認証タイムアウト期間。デフォルト値は120 
000で、最大360 000までの任意の値を使 
用できます。 

PWDLOGON 

• 1=管理者 K 外のユーザーによる指紋認証 
のみのログオンを有効じします。 

• 0 =管理者の•外のユーザーによる指紋認証 
のみのログオンを無効にします。 

デフォルト値は1です。 

NOPOPPAPCHECK 

. 0 =パワーオン•セキュリティー.オプシ 
ョンを表示しません。 

• 1=パワーオン*セキュリティ ー * オプシ 
ョンを常じ表示します。 

デフォルト値は0です。 
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ま 7. ThinkVantage 指紋認証ソフトウェアでサポートされるオプション (統を 


パラメーター 

説明 

css 

• 0 = Client Security Solution はインストー 
ルされていないと想定します。 

• 1 = Client Security Solution がインストー 
ルされていると想定します。 

デフォルト値は0です。 


注；すべてのオプションは任意指定です。 

指紋認証ソフトウェアをアンインストールするには、 /i ではなく /X パラメーター 
を使用します。ユーザ— r ンターフェースからの標準アンインストールの際に 
は、既存のパスポートを削除するかどうか、およびブート•セキュリティー機能を 
使用不可にするかどうかを選択するためのダイアログが表示されます。サイレン 
卜•アンインストール•モードの場合、 DELPAS パラメーターを使用できます。既 
存のパスポートを削除する場合、 DELPAS 値を’ ’1" に設定します。これらのオプシ 
ョンを定義しない場合、または他の値にする場合、パスポートは PC 上に残り、ブ 
ート•セキュリティーはその後も有効です。ブート•セキュリティーをオンのまま 
にすると、本製品を再インストールしない限りは、ブート•セキュリティー•メモ 
リーで指紋を編集することはできません。例えば、な下の構文を実行するとしま 
す。 


msiexec /i Setup.msi DELPAS="r' /q 

この場合、製品がアンインストールされ、既存のすべてのパスポートが削除され、 
ブート•セキュリティーが PC 上に残ります。 


Lenovo Fingerprint Software のインストール 

Lenovo Fingerprint Software プログラムの setup32.exe ファイルは、な下の手順を使 
用してインストールできます。 

サイレント•インストール 

指紋認証ソフトウェアをサイレント•インストールするには、 CD-ROM ドライブの 
インストール•デイレクトリーにある setup32.exe ファイルを実巧します。 


このときの構文は次のようになります。 
set 叩 32.exe /s /v"/qn REBOOT ="R"" 

ソフトウェアをアンインストールするには、义の構文を実行します。 
setup32.exe /x /s /v"/qn REB00T="R"" 
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オプション 

Lenovo Fingerprint Software ではな下のオプションがサポートされています。 


表 8. Lenovo Fingerprint Software で'サポ ー トされるオプション 


パラメーター 

説明 

SHORTCUT 

「スタート」 ^ニューじコントロール•セン 
ター.ショートカットを表示します。 

• 0 =コントロール-センター-ショートカ 
ットを表示しません。 

• 1=コントロール•センター•ショートカ 
ットを表示します。 

デフォルト値は0です。 

SWAUTOSTART 

• 0 =起動時に指紋認証ソフトウェアを開始 
しません。 

-1=起動時に指紋認証ソフトウェアを開始 
します。 

デフォルト値は1です。 

SWFPLOGON 

• 0 =指紋ログオン (GINA またはクレデン 
シャル-プロバイダー）を使用しません。 

• 1=指紋ログオン (GINA またはクレデン 
シャル-プロバイダー）を使用します。 

デフォルト値は0です。 

SWPOPP 

• 0 =パワーオン.パスワードの保護を無効 
にします。 

• 1=パワーオン.パスワードの保護を有効 
じします。 

デフォルト値は0です。 

SWSSO 

• 0 =シングル•サインオン機能を無効じし 
ます。 

• 1=シングル-サインオン機能を有効じし 
ます。 

デフォルト値は0です。 

SWALLOWENROLL 

• 0 =管理者 K 外のユーザーによる指紋の登 
録を無効じします。 

• 1=管理者 K 外のユーザーによる指紋の登 
録を有効じします。 

デフォルト値は1です。 

SWALLOWDELETE 

• 0 =管理者 K 外のユーザーによる指紋の削 
除を無効じします。 

• 1=管理者 K 外のユーザーによる指紋の削 
除を有効じします。 

デフォルト値は1です。 
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表 8. Lenovo Fingerprint Software でサポ ' ー トされるオプション f 線き j 


パラメーター 

説明 

SWALLOWIMEXPORT 

• 0 =管理者 K 外のユーザーじよる指紋のイ 
ンポート/エクスポートを無効にします。 

• 1=管理者 K 外のユーザーじよる指紋のイ 
ンポート/エクスポートを有効にします。 

デフォルト値は 1 です。 

SWALLOWSELECT 

• 0 =管理者 K 外のユーザーが指紋を使用し 
てパワーオン-パスワードを置換すること 
の選択を無効じします。 

• 1=管理者 K 外のユーザーが指紋を使用し 
てパワーオン-パスワードを置換すること 
の選択を有効じします。 

デフォルト値は 1 です。 

SWALLOWPWRECOVERY 

• 0 = Windows パスワードの復元を無効に 
します。 

• 1= Windows パスワードの復元を有効に 
します。 

デフォルト値は 1 です。 

SWANTIHAMMER 

- 0 =連続再試行に対する保護を無効にしま 
す。 

• 1=連続再試行に対する保護を有効にしま 
す。 

デフォルト値は 1 です。 

SWANT 阻 AMMERRETRIES 

最大再試巧回数を指定します。デフォルト値 
は5です。 

ま：この設定は、 SWANTIHAMMER が有効じなつ 
ているときにのみ、機能します。 

SWANTIHAMMERTIMEOUT 

タイムアウト期間（秒単位）を指定します。 
デフォルト値は 120 です。 

ミち：この設定は、 SWANTIHAMMER が有効になつ 
ているときにのみ、機能します。 

SWAUTHTIMEOUT 

• 0 =認証タイムアウトを無効にします。 

• 1=認証タイムアウトを有効にします。 

デフォルト値は 1 です。 

SWAUTHTIMEOUTVALUE 

認証がタイムアウトになるまでの非アクテイ 
ブ巧間（秒単位）を指定します。デフォルト 
値は 120 です。 

ま：この設定は、 SWAUTHTIMEOUT が有効にな 
つているときにのみ、機能します。 
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表 8. Lenovo Fingerprint Software で ' サポ ー トされるオプション f 統き j 


パラメーター 

説明 

SWNONADMIFPLOGONONLY 

• 0 =管理者の•外のユーザーじよる指紋認証 
のみのログオンを無効にします。 

• 1=管理者な外のユーザーじよる指紋認証 
のみのログオンを有効にします。 

デフォルト値は1です。 

SWSHOWPOWERON 

. 0=パワーオン•セキュリティー•オプシ 
ョンを表示しません。 

• 1=パワ ー オン.セキュリティ ー • オプシ 
ョンを常じ表示します。 

デフォルト値は0です。 

CSS 

• 0 = Client Security Solution はインストー 
ルされていないと想定します。 

• 1 = Client Security Solution がインストー 
ルされていると想定します。 

デフォルト値は0です。 


Systems Management Server (SMS) 

System Management Server ( SMS ) のインストールもサポートされています 。 SMS 
管理者コンソールを開きます。新規パッケージを作成して標準的なパッケージ•プ 
ロパティを設定します。そのパッケージを開き、「プログラム」項目で「新規プロ 
グラム」を選択します。コマンド•ラインに次のように入力します。 

Setup.exe /m yourmiffilename /q h 


サイレント•インストールの場合と同じパラメーターが使用できます。 

Set 叩では、通常はインストール•プロセス終了時に再起動します。インストール中 
は再起動せず、後で（さらにいくつかのプログラムをインストールしてから）再起動 
する場合は、プロパティ-リストに REBOOT =" ReallvSuppress " を追加します。 
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第 3 章 Client Security Solution での作業 


Client Security Solution をインストールする前に 、 Client Security Solution で選択可 
能なカスタマイズについて理解する必要があります。この章には 、 Client Security 
Solution のカスタマイズに関する情報および TPM (Trusted Platform Module ) に関す 
る情報が記載されています。この章では、 TPM について Trusted Computing Group 
( TCG ) によって定義された用語を使用します。 TPM について詳しくは、かの Web 

サイトを参照してください。 _ 

http :// www.trustedc 曰 mputinggro 叩. org / 


TPM の使用 


TPM は、 TPM を利用するソフトウェアにセキュリティー関連の機能を提供するた 
めに設計された エンべ デッド.セキュリティー • チップです。 エンべ デッド • セキ 
ュリティー•チップは、システムのマザーボードに搭載され、ハードウェア•バス 
を介して通信します。 TPM を導入しているシステムは、暗号鍵を作成して暗号化 
することができ、同じ TPM のみが暗号化を解除することができます。このプロセ 
スは、しばしば鍵のラッピングと呼ばれ、鍵の開示を防止するのに役立ちます。 
TPM を備えたシステムでは、マスター•ラッピング鍵は、ストレージ•ルート鍵 
( SRK ) と呼ばれ、 TPM 自体の内部に保存されるので、鍵の秘密 ( private ) 部分は決 
して公開されません。 エンべ デッド•セキュリティー•チップは、他のストレー 
ジ•キー、署名鍵、パスワード、およびデータの他の小ユニットも保存できます。 
TPM には記憶容量の制限があるので、 SRK はチップ外に記憶するその他の鍵の暗 
号化に使用されます。 SRK は エンべ デッド-セキュリティー-チップに残される 
ことは決してないので、保護ストレージの基本になっています。 

エンべデッド*セキュリティー.チップの使用はオプシヨンであり 、 Client Security 
Solution 管理者を必要とします。個人ユーザーでも企業の IT 部門でも、 TPM は 
初期設定する必要があります。ハードディスク故障からのリカバリーやシステム • 
ボードの交換など、その後の操作は 、 Client Security Solution 管埋者に限定されま 
す。 


注：認証モードを変更するときにセキュリティー.チップをアンロックしようとす 
る場合、ログアウトしてから、マスター管埋者としてログインし直す必要がありま 
す。これで、セキュリティー•チップをアンロックすることができます。 2 乂ユー 
ザーとしてログオンして、認証モードの変換を続けることもできます。この操作は 
2かユーザーがログオンすると自動的に行われます。この場合 、 Client Security 
Solution によって2义ユーザーのパスワードまたはパス フレーズの プロンプトが出 
されます 。 Client Security Solution が変更の処埋を完了すると、2义ユーザーはセ 
キュリティー-チップのアンロック操作に進むことができます。 

Windows 7 での TPM の使用 

Windows 7 ログオンが有効で、 TPM が無効の場合 、 Windows ログオン機能を無効 
にしてから、 F 1 BIOS で TPM を無効じする必要があります。この操作を行うと、 

「セキュリティー-チップが非アクティブになりました。ログオン-プロセスを保 
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護できません 。 （Security chip has been deactivated ，比 e logon process cannot be 
protected )」 というセキュリティー•メッセージが表示されなくなります。 

さらに、クライアント-システムのオペレーティング-システムをアップグレード 
する場合、 Client Security の登録に失敗しないためにセキュリティー.チップのク 
リアが必要です。 F 1 BIOS でセキュリティー•チップをクリアするには、システ 
ムをコールド起動する必要があります。ウォームリブートの後にこのプロセスを実 
行しようとすると、セキュリティー-チップをクリアできなくなります。 


Client Security Solution の暗号鍵の管理 

Client Security Solution については、2つの主なデプロイメント.アクティビティー 
である『所有権の取得』と『ユーザー登録』で説明します。 Client Security So 山 tion 
セットアップ.ウィザードを初めて実行する際に、所有権の取得プロセスとユーザ 
一登録プロセスが、どちらも初期設定時に実行されます。 Client Security Solution セ 
ットアップ*ウィザードを完了した特定の Windows ユーザーのは、 Client 
Security Solution 管理者で、アクティブ•ユーザーとして登録されます。システムに 
ログインするその他のユーザーは、すべて Client Security Solution に登録するよう 
に自動的に要ホされます。 

-所有巧の取得 

単一の Windows 管埋者のユーザー ID は、唯一の Client Security Solution 管埋 
者としてシステムに割り当てられます。 Client Security Solution の管埋機能は、 
このユーザー ID により実斤される必要があります。 TPM の許可は、このユー 
ザーの Windows パスワードか、 Client Security パスフレーズのいずれかです。 

注：忘れてしまった Client Security Solution 管埋者パスワードまたはパスフレー 
ズからリカバリーする唯一の方法は、有効な Windows のアクセス権を使用して 
このソフトウェアをアンインストールするか、 BIOS 内のセキュリティー•チッ 
プをクリアするかのいずれかです。いずれの方法でも、 TPM に関連した鍵を介し 
て保護されたデータは、消失します。 Client Security Solution は、忘れてしまっ 
たパスワードまたはパスフレーズを自分で復元できるようにするオプシヨン機構 
も提供します。このため、パスワードまたはパスフレーズは、ユーザー確認のた 
めの質問への応答を基にしています。 Client Security Solution 管埋者は、この機 
能を使用するかしないかを決定します。 


. ユーザー 登録 


所有権の取得プロセスが完了し、 Client Security Solution 管埋者が作成されると、 
ユ'—ザー.ベース鍵を作成して、現在ログオンしている Windows ユ' —ザーのク 
レデンシャルを巧全に保をすることができます。この設計により、複数のユーザ 
一が Client Security Solution に登録し、単一の TPM を利用することができま 
す。ユーザー鍵は、セキュリティー.チップを介して保護されますが、実際には 
チップ外のハードディスクに保存されます。この設計では、セキュリティー•チ 
ップに構築された実際のメモリーの代わりに、制限のあるストレージ要素として 
ハードディスク-スペースを作成します。同じセキュア-ハードウエアを利用で 
きるユーザーの数が飛躍的に増大します。 
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所有権の取得 

Client Security Solution のトラステッド*ルートは、システム*ルート*キー ( SRK ) 
です。この移動できない非対称鍵は、 TPM のセキュア環境内に生成され、システ 
ムに公開されることは決してありません。この鍵を利用する許可は、 Windows 管埋 
者アカウントにより TPM _ TakeOwnership コマンドの実行中に得られます 。 Client 
Security パスフレーズを利用している場合 、 Client Security Solution 管埋者の Client 
Security パスフレーズは、 TPM 許可になり、それな外の場合は Client Security 
Sol 址 on 管埋者の Windows パスワードになります。 


システム用に作成された SRK では、その他の鍵ペアは、作成して TPM の外部に 
保存できますが、ハードウェア•ベースの鍵によってラップまたは保護されます。 
TPM は SRK を内蔵するハードウェアであり、ハードウェアは損傷することがある 
ので、システムへの損傷によりデータ-リカバリーが妨げられないようにするため 
にリカバリー機構が必要です。 

システムをリカバリーするために、システム•ベース鍵 （System Base Key ) が作成 
されます。この非対称ストレージ*キーにより 、 Client Security Solution 管埋者 
は、システム-ボード交換や別システムへの計画的移行からリカバリーすることが 
できます。システム•ベース鍵を保護しながら、通常の操作またはリカバリー時に 
アクセスできるようにするために、このキーの2つのインスタンスが作成され、異 
なる2つの方法によって保護されます。最初に、システム•ベース鍵は、 AES 対 
称鍵を使用して暗号化されます。この鍵は、迎 ent Security Solution 管埋者のパスワ 
ードまたは Client Security パスフレーズを知っていれば得ることができます。 

Client Security Solution リカバリー.キーのこのコピーは、クリアされた TPM また 
は八ードウエア障害により交換されたシステム-ボードからのリカバリー専用で 
す。 


Client Security Solution リカバリー*キーの2番目のインスタンスは、 SRK によ 
ってラップされてキー階層にインポートされます。システム•ベース鍵のこの2つ 
のインスタンスにより、 TPM は自身にバインドされた秘密を通常の使用状態で保 
護することができ、 さらに AES 鍵を使用して暗号化されているシステム-ベース 
鍵を介して、障害のあるシステム•ボードをリカバリーすることができます 。 AES 
鍵は 、 Client Security Solution 管埋者パスワードまたは Client Security パスフレ'— 
ズによってアンロックされます。 '灰に、 システム-リーフ鍵 (System Leaf Key ) が 
作成されます。このキーは、 AES 鍵など、システム-レベルの機密事項を保護する 
ために作成されます。 
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次の図に、システム • レベルのキー構造を示します。 


システム.レベルのキー構造-所有権取得 



図}' システム. レベルのキー構造-所有権あ得 


ユーザー登録 

各 ユーザーのデータを 同じ TPM によって保護するために、各 ユーザーは 独自の ユ 
ー ザ ー. ベース 鍵を作成します。この移動可能な非対称スト レー ジ. キーは、 2回 
作成され、各 ユーザーの Windows パスワードまたは Client Security パスフレーズ 
から生成され た 対称 AES 鍵によって保護されます。 

次に、ユーザー.ベース鍵の2番目のインスタンスは、 TPM にインポートされ、 
システム SRK によって保護されます。作成されたユーザー•ベース鍵では、ユー 
ザ ー. リーフ鍵 （User Leaf Key ) と呼ばれる第2非対称鍵が作成されます。ユーザ 
一. リーフ鍵は、インターネット.ログオン情報の保護じ使用される Password 
Manager AES 鍵、データの保護に使用されるパスワード、およびオペレーティン 
り）. システムへのアクセスを防護する Windows パスワード AES 鍵など、個別の秘 
密事項を保護します。ユーザー.リーフ鍵へのアクセスは、ユーザーの Windows 
パスワ'—ドまたは迎 ent Security Solution パスフレ'ーズによって制御され、ログオ 
ン時には自動的にロックが解除されます。 
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次の図に、ユーザー.レベルのキー構造を示します。 


ュ_ザ_ ■ レベルのキー構造-ューザー登録 


TPM 



図 2. ユーザー. レベルのキー構造 -ユーザー登録 


バックグラウンド登録 

Client Security So 山 tion 8.3 は、自動的に開始されるユーザー登録のバックグラウン 
ド登録をサポートします。登録プロセスは、通知を表示せずにバックグラウンドで 
実行されます。 

注：バックグラウンド登録は、自動的に開始されるユーザー登録の場合にのみ、使 
用できます。「スタート」メニューまたは「セキュリティー設定のリセット」から 
手動で開始されるユーザー登録の場合は、ユーザーがユーザー登録を待機すること 
を示すダイアログが今までどおり表示されます。 

ローカル管理者またはドメイン管埋者も、义のようにポリシーを編集することで、 
待機ダイアログを強制的に表示させることができます。 
CSS _ GUI _ ALWAYS _ SHOW _ ENROLLMENT_PROCESSING 

あるいは、乂のようにレジストリー-キーを編集します。 

HKLM ¥ software¥po I i cies ¥ lenovo¥client security solution¥GUI options ¥ 

A 1 way sShowEnrol 1 merit Processing 


A 1 waysShowEnrol 1 merit Process i ng のデフオルト値は 0 です。上記のレジストリ 
一-キーが0に設定された場合は、自動的に開始されるユーザー登録の待機ダイア 
ログは表示されません。このポリシーが1に設定された場合は、登録が開始される 
方法に関係なく、ユーザー登録中に必ず待機ダイアログが表示されます。 
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ソフトウェア-エミュレーシヨン 

TPM を備えていないコンピューターを使用するユーザーの経験レベルを一貫して高 
めるため、 CSS は TPM エミュレーシヨン•モードをサポートしています。 

TPM エミュレーシヨン•モードは、トラステッド • ソフトウェア•ベース • ルート 
です。ユーザーは、 TPM によって提供されるのと同じ機能（デジタル署名、対称鍵 
暗号化解除、 RSA 鍵のインポート、保護、および乱数生成など）を使用可能です 
が、トラステッド•ルートはソフトウェア•ベースの鍵であるので、セキュリティ 
一は低下します。 


TPM エミュレーシヨン•モードを、 TPM のセキュアな代替として使用することは 
できません。 TPM は、 TPM エミュレーシヨン•モードよりセキュアな、かの2 
つの鍵保護方法を提供します。 

• TPM によって使用されるすべての鍵が、固有のルート-レベル鍵によって保護さ 
れます。固有のルート-レベル鍵は、 TPM 内部に作成され、 TPM 外部で表示し 
たり使用したりすることはできません。 TPM エミュレーシヨン•モードでは、ル 
ート-レベル鍵は、ハードディスク-ドライブに保存されたソフトウェア•ベー 
ス鍵です。 

-すべての秘密鍵操作は TPM 内部で実行されるので、鍵の秘密鍵の巧料が、 TPM 
外部に露出することはありません。 TPM エミュレーシヨン•モードでは、すべて 
の秘密鍵操作がソフトウェア内で実行されるので、秘密鍵の材料は保護されませ 
ん。 


TPM エミュレーシヨン•モードは主に、セキュリティーにはあまり関ムがなく、シ 
ステムのログオン速度に強い関ムを持つユーザー向けです。 

システム-ボードの交換 

システム•ボードを交換するということは、鍵がバインドされていた旧 SRK がも 
はや無効になり、別の SRK が必要とされていることが推測されます。これは TPM 
が BIOS によりクリアされても起こります。 

Client Security So 山 tion 管埋者は、システムのクレデンシャルを新規 SRK にバイン 
ドすることを要ボされます。システム*ベース鍵は、 Client Security Solution 管埋 
者クレデンシャルから得たシステム-ベース AES 保護鍵により暗号化を解除する 
必要があります。 

Client Security Solution 管理者がドメイン.ユーザー ID であり、そのユーザー ID 
のパスワードが別のマシン上で変更されていた場合、リカバリーを必要とするシス 
テムにログオンするときに最後に使用されたパスワードが、リカバリーのためにシ 
ステム•ベース鍵の暗号化を解除するために既知である必要があります。たとえ 
ば、デプロイメント中に、 Client Security Solution 管理者のユーザーのとパスワ 
ードが構成されており、このユーザーのパスワードが別のマシン上で変更されてい 
る場合は、デプロイメント中に設定された元のパスワードは、このシステムをリカ 
バリーするための必須権限になります。 
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な下のステップに従って、システム-ボードの交換を実施してください。 

1. 迎 ent Security So 山 tion 管理者は、オペレーティング.システムにログオンす 
る。 

2. ログオン実わコ'ード （ cssplanarswap . exe ) は、セキュリティ’—•チップが使用不可 
になっていることを認識し、使用可能にするために再起動を要まする（このステ 
ップは、 BIOS によりセキュリティー•チップを使用可能にすることで回避でき 
ます)。 

3. システムが再起動され、セキュリティー•チップが使用可能になる。 

4. 迎 ent Security Solution 管理者がログオンし、 、かこ、 新規 Take Ownership プロ 
セスが完了する。 

5. システム.ベース鍵は 、 Client Security Solution 管理者の認証によって得られる 
システム基本 AES 保護鍵を使用して暗号化を解除される。システム.ベース鍵 
は、新規 SRK じインポートされて、システム-リーフ鍵とそれによって保護さ 
れているすべてのクレデンシャルを再設定します。 

6. これで、システムはリカバリーされます。 

注：システム•ボードの交換は、エミュレーシヨン•モードの使用時は必要ありま 

せん。 

次の図に、マザーボード•スワップ（所有権取得）の構造を示します。 

システム-ボードの交換-所有権取得 


TPM 



國 3. システム. ボードの交換-所有権取得 

各 ユーザーが システムにログオンする度に、 ユーザー-ベース 鍵が ユーザー 認証か 
ら得られるユーザー. ベース AES 保護鍵により自動的に暗号化を解除され、 

Client Security Solution 管理者により作成された新規 SRK にインポートされます。 
次の図に、マザーボード-スワップ（ユーザー登録）の構造を示します。 

セキュリティー•チップのクリア後、またはマザーボードの交換後に2 乂ユーザー 
をログインさせるには、マスター管理者としてログインする必要があります。マス 
ター管理者には鍵を復元するためのプロンプトが出されます。鍵の復元が完了した 
ら 、 Policy Manager を使用して Client Security の Windows ログオンを無効にしま 
す。残りのユーザーはそれぞれの鍵を復元できます。すべての2义ユーザーがそれ 
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ぞれの鍵を復兀したら、マスター管理者は Client Security Solution の Windows 口 
グオン機能を有効にすることができます。 

次の図に、マザーボード-スワップ（ユーザー登録）の構造を示します。 


マザ_ボード■スワッフ-ユーザー登録 


TPM 


ストレージ-ルートの秘密鍵 
ストレージ■ルートの公開鍵 


ユーザー PW/PP 


ューザー.リーフの秘密鍵 
ユーザー■リーフのな開鍵 


Windows PWAES キー 


PW マネージヤー AES キー 


, 、"AV 7 、 - L- パスフレーズレくスワード） 

1 WAY ハツンユ ^ ループが n 回の場合 


ユーザー.ベース AES 
保護キー 

( ハッシュ . アルゴリズムの 
出力経由で派生） 


ュ— ザ—.ベースの秘密鍵 

- f 

ューザー.ベースの公開鍵 


派生 AES キー経由で暗号化解除 



図ん マ ザ ーボー ド•スワップ- ユーザー 登録 


EFS 保護ユーティリティー 

Client Security Solution は、ファイルおよびフォルダーを暗号化するために 
Encrypting File System ( EFS ) が使用する暗号化証明書を、 TPM に基づいて保護で 
きるようにするコマンド•ライン.ユーティリティーを提供します。このユーティ 
リティーは、サード•パーティー証明書（認証局が生成する証明書）の転送をサポー 
卜し、さらに自己署名証明書の生成もサポートします。 

Client Security So 山 tion による邸 S 証明書の保護とは、邸 S 証明書に関連する秘密 
鍵が TPM によって保護されることを意味します。この証明書へのアクセスは、ユ 
ーザ'一が Client Security Solution で認証された後に認可されます。 

TPM が有効でない場合、邸 S 証明書は Client Security So 山 tion が提供する TPM 
エミュレーターを使用して保護されます。 EFS 証明書が Client Security So 山 tion に 
よって保護されるようにするには、 Client Security Solution への登録が必要です。 

注意： 

Client Security Solution と Encrypting File System ( EFS ) を使用してファイルおよ 
びフォルダーを暗号化した場合、 Client Security Solution または TPM が使用でき 
ない場合には暗号化されたファイルにアクセスできません。 

TPM が反応しなくなった場合、 Client Security Solution はマザーボードを交換した 
後に暗号化されたデータへ再びアクセスできるようになります。 
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EFS コマンド•ライン•ユーティリティーの使用 

次の表に、邸 S でサポートされるコマンド•ライン-パラメーターを示します。 


表 9. EFS でサポートされるコマンド • ライン•パラメーター 


パラメーター 

説明 

/generate:<size> 

自己署名証明書を生成し、その証明書を EFS 
じ関連付けます。 <size> を指定すると、生 
成される鍵は指定されたビット-サイズのも 
のになります。有効な値は、 512、1024、 せ 
よび 2048 です。値を指定しない場合、また 
は無効値を指定すると、デフォルトで 1024 
ビットの鍵が生成されます。 

/sn:xxxxxx 

転送して EFS と関連付ける既存の証明書の 
シリアル番号を指定します。 

/cn:yyyyyy 

転送して EFS と関連付ける既存の証明書の 
名前 （ 「発行先」）を指定します。 

/firstavail 

最初に使用可能な既存の EFS 証明書を転送 
して EFS と関連付けます。 

/silent 

出力を表示しません。プログラム終了時に値 
じよって提供される戻りコード。 

/? または 化 または 化 elp 

ヘルプ情報を表示します。 


サイレント•モードで実行されていない場合、このユーティリティーはな下のいず 
れかの エラーを 戻します。 

0 - "Command completed successfully" 

1- "This utility requires Windows XP" 

2 - "This utility requires Client Security Solution version 8.0" 

3 - "The current user is not enrolled with Client Security Solution" 

4 - "The specified certificate could not be found" 

5 - "Unable to generate a self-signed certificate" 

6 - "No EFS certificates were found" 

7 - "Unable to associate the certificate with EFS" 

サイレント•モードで実行されている場合、プログラムの出力は、上記に示すエラ 
一番号に対応するエラー-レベルになります。 


XML スキーマの使用 

XML スクリプト記述の目的は、 IT 管埋者が Client Security Solution のデプロイお 
よび構成に使用できるカスタム-スクリプトを作成できるようにすることです。ス 
クリプトは xm し cryp し tool 実行可能モジュールによって保護できます (AES 暗号化 
などのパスワードを使用)。いったん作成されると、仮想マシン （vmserver.exe) は、 
入力としてスクリプトを受け入れます。仮想マシンは、 Client Security So 山 tion セッ 
トアップ.ウィザ ー ドと同一のファンクションを呼び出して、ソフトウェアを構成 
します。 

すべてのスクリプトは、 XML エンコード.タイプ、 XML スキーマ、および実行す 
る1つな上の機能を指定する1つのタグより構成されています。スキーマは、 

XML ファイルを検証し、必須パラメーターがそろっていることを確認するためじ使 
用されます。スキーマの使用は、現在、推奨されていません。各ファンクション 
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は、ファンクション•タグで囲まれています。各ファンクションには ORDER が含 
まれています。これは、コマンドが仮想マシン ( vmserver . exe ) によって実行される 
順番を指定します。各ファンクションには、バージョン番号も含まれます。現在、 
すべてのファンクションはバージョン 1.0 です。な下のスクリプト例には、それぞ 
れ1つのファンクションのみが含まれています。しかし、実際のスクリプトには複 
数のファンクションが含まれる可能性が高くなります 。 Client Security Solution セ 
ットアップ.ウィザードを使用すれば、このようなスクリプトを作成できます。セ 
ットアップ.ウィザードによるスクリプト作成の追加情報については、 1^7 ページの 
『Client Security Solution セットアップ*ウィザード』を参照してください。 

注：ドメイン名を必要とするファンクションのいずれかに、 パラメーター 
< DOMAIN _ NAME _ PARAMETER > が残されている場合は、システムのデフオルトの 
PC 名が使用されます。 


例 


な下のコマンドは、 XML スキーマの例です。 


ENABLE_TPM_FUNCTION 

このコマンドは、 TPM を使用可能にし、引数 SYSTEM _ PAP を使用します。シス 
テムに既に BIOS 管埋者またはスーパーバイザー•パスワードが設定されている場 
合は、この引数を指定する必要があります。それな外の場合、このコマンドはオプ 
シヨンです。 

<tvt deployment xml ns ="http ： //www.lenovo.com" 

xmlns:xsi = ||http://w 村 w.w3.org/20Ql/XMLSchema-instance " xsi : schemaLocation=" 
http:// 叫 ww.1enovo.com cssDeploy.xsd"> 

< registry_setti ngs /> 

< /tv し dep 下 oyment > 

~ <FUNCTI0N> 

<ORDER>0OO1</ORDER> 

<COMMAND>ENABLE_TPM_FUNCTION</COMMAND> 

<VERSI0N>1.0</VERSI0N> 

<SYSTEM_PAP>PASSWORD</SYSTEM_PAP> 

</FUNCTI0N> — 

</CSSFile> 


注：このコマンドは、エミュレーション•モードではサポートされていません。 

D 旧 ABLE_TPM_FUNCTION 

このコマンドは引数 SYSTEM _ PAP を使用します。システムに既に BIOS 管理者ま 
たはスーパーバイザー.パスワードが設定されている場合は、この引数を指定する 
必要があります。それな外の場合、このコマンドはオプションです。 

<tvt deployment xml ns ="http://www.1enovo.com" 

xmlns:xsi = ||http://w 村 w.w3.org/20Ql/XMLSchema-instance " xsi : schemaLocation=" 
http://www.1enovo.com cssDeploy.xsd"> 

< registry_settings /> 

< /tv し deployment 

~ <FUNCTI0N> 

<ORDER>OO01</ORDER> 

<COMMAND>DISABLE_TPM_FUNCTION</COMMAND> 

<VERSI0N>1.0</VERSI0N> 

<SYSTEM_PAP>password</SYSTEM_PAP> 

</FUNCTI0N> — 

</CSSFile> 


注；このコマンドは、ェミュレーシヨン•モードではサポートされていません。 
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ENABLE_PWMGR_FUNCTION 

このコマンドは、すべての Client Security Solution ユーザーに対して Password 
Manager を使用可能にします。 

<?xml version="l.0" encoding="UTF-8" standalone="no"?> 

<CSSFi1e xmlns="www.lenovo.com/security/CSS"> 

<FUNCTI0N> 

<ORDER>O001</ORDER> 

<COMMAND>ENABLE_PWMGR_FUNCTION</COMMAND> 

<VERSION>1.0</VERSION> 

</FUNCTI0N> 

</CSSFile> 

ENABLE_CSS_GINA_FUNCTION 

Windows XP、Windows Vista 、 および Windows 7 の場合、次のコマンドで Client 
Security Solution ログオンが可能になります。 

- <tvt deployment xml ns ="http://www.lenovo.coni" 

xmlns:xsi = ||http://www. 村 3.org/2QQl/XMLSchema-instance " xsi :scheniaLocation=" 
http://www.lenovo.com cssOeploy.xsd"> 

< registry_settings /> 

< /tv し dep 下 oyment 

~ <FUNCTI0N> 

<ORDER>OO01</ORDER> 

COMMAN い ENABLE_CSS_GINA_FUNCTION</COMMAND> 

<VERSION>1.0</VERSION> 

</FUNCTI0N> 

</CSSFile> 

ENABLE_UPEK_GINA_FUNCTION 

注： 

1. このコマンドは ThinkVantage 指紋認証ソフトウェア専用です。 

2. このコマンドは、エミュレーシヨン•モードではサポートされていません。 

次のコマンドでは、 ThinkVantage 指紋認証による Windows ログオンが有効にな 
り、 Client Security Solution による Windows ログオンが無効になります。 

<tvt deployment xml ns ="http ： //www.lenovo.com" 

xml ns:xsi = "http://www.w3.org/20Ol/XMLSchetTia-instance " xsi : scheniaLocation=" 
http://www.lenovo.com cssDeploy.xsd"> 

< registry_settings /> 

< /tv し deployment > 

~<FUNCTI0N> 

<ORDER>O0O1</ORDER> 

<C0MMAN い ENABLE_UPEK_GINA_FUNCTION</COMMAN い 

<version>i.0</vErsio 丙 > — 

</FUNCTI0N> 

</CSSFile> 

ENABLE_UPEK_GINA_WITH_FUS_FUNCTION 

注： 

1. このコマンドは ThinkVantage 指紋認証ソフトウェア専用です。 

2. このコマンドは、ェミュレーシヨン•モードではサポートされていません。 
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次のコマンドでは、ユーザーの簡易切り替えがサポートされるログオンが有効にな 
り、 Client Security Solution による Windows ログオンが無効になります。 PC がド 
メイン環境にある場合には、ユーザーの簡易切り替えは無効です。これは、 
Microsoft の設計です。 

<tvt deployment xml ns ="http ： //www.lenovo.com" 

xml ns:xsi = "http://www.w3.org/2001/XMLSchema-instance " xsi : scheniaLocation=" 
http:// 叫 ww.1enovo.com cssDeploy.xsd"> 

< registry_settings /> 

< /tv し dep 下 oyment 

<FUNCTI0N> 

<ORDER>0O01</ORDER> 

<COMMAND>ENABLE_UPEK_GINAJJIH_FUS_FUNCTION</COMMAND> 
<VERSI0N>1.0</VERSI0N> --- 
</FUNCTI0N> 

</CSSFile> 

ENABLE_AUTHENTEC_GINA_FUNCTION 

注： 

1. このコマンドは Lenovo Fingerprint Software 専用です。 

2. このコマンドは、エミュレーシヨン.モードではサポートされていません。 

次のコマンドでは、 Lenovo Fingerprint による Windows ログオンが有効になり、 
Client Security Solution による Windows ログオンが無効になります。 

<tvt deployment xml ns ="http : //www.1enovo.com" 

xml ns:xsi = "http://www.w3.org/20Ol/XMLSchema-instance " xsi : scheniaLocation=" 
http://www.1enovo.com cssOeploy.xsd"> 

< registry_settings /> 

< /tv し dep 下 oyment > 

~<FUNCTI0N> 

<ORDER>0OO1</ORDER> 

<COMMAND>ENABLE_AUTHENTEC_GINA_FUNCTION</COMMAND> 

<VERSI0N>1.0</VERSI0N> — — 

</FUNCTI0N> 

</CSSFile> 

ENABLE_AUTHENTEC_GINA_WITH_FUS_FUNCTION 

注： 

1. このコマンドは Lenovo Fingerprint Software 専用です。 

2. このコマンドは、エミュレーシヨン.モードではサポートされていません。 

次のコマンドでは、ユーザーの簡易切り替えがサポートされるログオンが有効にな 
り、 Client Security Solution による Windows ログオンが無効になります。 PC がド 
メイン環境にある場合には、ユーザーの簡易切り替えは無劾です。これは、 
Microsoft の設計です。 

<tvt deployment xml ns ="http://ww 村 . lenovo.com" 

xmlns:xsi = ||http://w 村 w.w3.org/20Ql/XMLSchema-instance " xsi : schemaLocation=" 
http://ww 时 .1enovo.com cssDeploy.xsd"> 

< registry_setti ngs /> 

< /tv し dep 下 oyment 

<FUNCTI0N> 

<ORDER>0OO1</ORDER> 

<COMMAND>ENABLE_AUTHENTEC_GINA_WIH_FUS_FUNCTION</COMMAND> 
<VERSI0N>1.0</VERSI0N> — --— 

</FUNCTI0N> 

</CSSFile> 
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ENABLE_NONE_GINA_FUNCTION 

ThinkVantage 指紋認証ソフトウエア 、 Client Security Solution 、 または Access 
Connections などの ThinkVantage Technology 関連コンポーネントのいずれかの 
GINA または CP (クレデンシャル-プロバイダー）が使用可能な場合、このコマン 
ドは ThinkVantage 指紋認証ソフトウエアのログオンと Client Security Solution の 
ログオンの両方を使用不可にします。 

<tvt deployment xml ns ="http://www.lenovo.com" 

xml ns:xsi = "http://www.w3.org/20Ol/XMLSchetTia-instance " xsi : scheniaLocation=" 
http://www.lenovo.com cssDeploy.xsd"> 

< registry_settings /> 

< /tv し dep 下 oyment 

~ <FUNCTI0N> 

<ORDER>O0O1</ORDER> 

<COMMAN[>ENABLE_CSS_NONE_FUNCTION</COMMAND> 

<VERSION>1.0</VERSION> 

</FUNCTI0N> 

</CSSFile> 

注：このコマンドは、エミュレーシヨン.モードではサポートされていません。 

SET_PP_FLAG_FUNCTION 

このコマンドは 、 Client Security パスフレーズを使用するか、 Windows パスワード 
を使用するかを決めるために 、 Client Security Solution が読み取るフラグを書き达み 
ます。 

<tvt deployment xml ns ="http ： //www.lenovo.com" 

xmlns:xsi = ||http://w 村 w. 村 3.org/2QQl/XMLSchema-instance " xsi :scheniaLocation=" 
http://www.lenovo.com cssDeploy.xsd"> 

< registry_settings /> 

< /tv し deployment 

~<FUNCTI0N> 

<ORDER>OO01</ORDER> 

<C0MMAN い SET_PP_FLAG_FUNCTION</COMMAND> 

<pp_flag_settTngIparameter>use_css_pp</pp_flag_setting_parameter> 

<VERSION>1.0</VERSION> —— — — — 

</FUNCTI0N> 

</CSSFile> 

注：このコマンドは、エミュレーシヨン•モードではサポートされていません。 

SET_ADMIN_USER_FUNCTION 

このコマンドは、管埋者を決めるために Client Security Solution が読み取るフラグ 
を書き込みます。パラメーターは义のとおりです。 

• USER _ NAME_PARAMETER 

管埋者のユーザー名。 

• DOMAIN _ NAME_PARAMETER 

管埋者のドメイン名。 

<tvt deployment xml ns ="http ： //www.lenovo.com" 

xml ns:xsi = "http://www.w3.org/20Ol/XMLSchetTia-instance " xsi : scheniaLocation=" 
http://ww 时 .1enovo.com cssDeploy.xsd"> 

< registry_settings /> 

< /tv し deployment 

~ <FUNCTI0N> 

<ORDER>O0O1</ORDER> 

<COMMAND>SET_ADMIN_USER_FUNCTION</COMMAND> 
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<USER_NAME_PARAMETE い sabedi</USER_NAME_PARAMETE い 
<DOMATn_NA 向 E_PARAMETE い IBM-2AA925 を C79;D0MAIN_NAME_PARAMETE い 

< version > i .0<7 version > - - 

<SYSTEM PAP>PASSWORD</SYSTEM PAP> 

</FUNCTION> 

</CSSFile> 


注：このコマンドは、エミュレーション.モードではサポートされていません。 

INITIALIZE_SYSTEM_FUNCTION 

このコマンドは、 Client Security Solution システム機能を初期設定します。システム 
全体の鍵は、このファンクション呼び出しにより生成されます。乂のパラメータ 
一•リストで、各ファンクションについて説明します。 

• NEW_OWNER_AUTH_DATA_PARAMETER 

このパラメーターは、システムの新規所有者パスワードを設定するために使用さ 
れます。新規所有者パスワードの場合、このパラメーターの値は現行所有者パス 
ワードにより制御されます。現行所有者パスワードが設定されていない場合、こ 
のパラメーターの値が渡されて新規所有者パスワードになります。現行所有者パ 
スワードが既に設定され、管埋者が同じ現行の所有者パスワードを使用する場合 
は、このパラメーターの値が渡されます。管埋者が新規所有者パスワードを使用 
する場合、新規所有者パスワードがこのパラメーターに渡されます。 

• CURRENT_OWNER_AUTH_DATA_PARAMETER 

このパラメーターは、システムの現行所有者パスワードです。既にシステムじ既 
存の所有者パスワードがある場合は、このパラメーターは前のパスワードを渡す 
必要があります。新規所有者パスワードが要ホされる場合、現行所有者パスワー 
ドがこのパラメーターに渡されます。パスワード変更が構成されていない場合 
は、値 NO _ CURRENT _ OWNER_AUTH が渡されます。 

<tvt deployment xml ns ="http://www.1enovo.com" 

xml ns:xsi = "http://www.w3.org/20Ol/XMLSchema-instance " xsi : scheniaLocation=" 
http ： //www.1enovo.com cssDeploy.xsd"> 

< registry_settings /> 

< /tv し dep 下 oyment 

~<FUNCTI0N> 

<ORDER>OO01</ORDER> 

<COMMAND>INITIALIZE_SYSTEM_FUNCTION</COMMAND> 

<NEW OWNER AUTH DATA PARAMETER>passlword</NEW OWNER AUTH DATA 
戶 arameTe い — — — — — — 

<CURRENT_OWNER_AUTH_DATA_PARAMETER>No_CURRENT_OWNER_AUTH</CURRENT 

_ownEr_autH_da な _parSmete い — — — 

<versTon>i.0</version> 

</FUNCTI0N> 

</CSSFile> 


CHANGE_TPM_OWNER_AUTH_FUNCTION 

このコマンドは、 Client Security Solution 管埋者権限を変更し、それに応じてシステ 
ム鍵を更新します。システム全体の鍵は、このファンクション呼び出しにより再生 
成されます。 パラメーターは 义のとおりです。 

• NEW _ OWNER _ AUTH _ DATA_PARAMETER 

TPM の新規所有者パスワード 
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• CUR 民 ENT_OWNE 民 _ AUTH _ DATA_PARAMETE 民 

TPM の現行所有者パスワード 
<tvt_deployment xml ns ="http://www.lenovo.com" 

xml ns:xsi = "http://www.w3.org/20Ol/XMLSchetTia-instance " xsi : scheniaLocation=" 
http://www.lenovo.com cssDeploy.xsd"> 

< registry_settings /> 

< /tv し deployment 

~ <FUNCTI0N> 

<ORDER>O0O1</ORDER> 

COMMAN い CHANGE_TPM_OWNER_AUTH_FUNCTION</COMMAND> 

<NEW OWNER AUTH—DATA PARAMETER>newPassWord</NEW OWNER AUTH DATA 
戶 ARAME 干 E ぃ — — — — — — 

<CURRENT_OWNER_AUTH_DATA_PARAMETE い oldPassWord</CURRENT_OWNER_AUTH 
_DATA_PARAMETER^ _ _ _ 

<versTon>iTo</version> 

</FUNCTION> 

</CSSFile> 

注：このコマンドは、エミュレーシヨン•モードではサポートされていません。 

ENROLL_USER_FUNCTION 

このコマンドは、 Client Security Solution を使用する特定のユーザーを登録します。 
このファンクシヨンは、ユーザー固有のセキュリティー.キーのすべてを所定のユ 
ーザーじ作成します。パラメーターは次のとおりです。 

• USER_NAME_PARAMETER 

登録するユーザーのユーザー名 

• DOMAIN_NAME_PARAMETER 

登録するユーザーのドメイン名 

• USER_AUTH_DATA_PARAMETER 

ユーザーのセキュリティー•キーを作成するための TPM パスフレーズまたは 
Windows パスワード 

• WIN_PW_PARAMETER 

Windows パスワード 

<tvt deployment xml ns ="http://www.lenovo.com" 

xmlns:xsi = ||http://www. 村 3.org/2QQl/XMLSchema-instance " xsi : schemaLocation=" 
http://www.lenovo.com cssOeploy.xsd"> 

< registry_settings /> 

< /tv し deployment 

~ <FUNCTI0N> 

<ORDER>OO01</ORDER> 

<COMMAND>ENROLL_USER_FUNCTION</COMMAND> 

<USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> 

<D0MATn_NA 相 -PARAMETE ぃ IBM-SAA 92 日拆 C 79 ;DOMAIN_NAME_ PARAMETER 
<USER_aUtH_D 方 TA_PARAMETE い myCssUserPassPhrase;/USE5_AUTH_DATA_PARAMETE い 

<WIN_PW_PARAMETER>myWi’ndowsPassword</WIN_PW_PARAMETE い 
<VERSTON>1.0</VERSION> —— 

</FUNCTI0N> 

</CSSFile> 


第 3 章 Client Security Solution での作業 39 


USER_PW_RECOVERY_FUNCTION 

このコマンドは、特定ユーザーのパスワード.リカバリーをセットアップします。 
パラメーターは次のとおりです。 

• USER_NAME_PARAMETER 

登録するユーザーのユーザー名 

• DOMAIN_NAME_PARAMETER 

登録するユーザーのドメイン名 

• USER_PW_REC_QUESTION_COUNT 

ユーザーが応答しなければならない質問の数 

• USER_PW_REC_ANSWER_DATA_PARAMETER 

特定の質問に対する、保存されている応答。このパラメーターの実名には、応答 
される質問に対応する番号が連結しています。 

• USER_PW_REC_STORED_PASSWORD_PARAMETER 

質問のすべてが正確に応答されると、ユーザーに示される保存されたパスワー 
ド。 

<tvt deployment xml ns ="http : //www.1enovo.com" 

xml ns:xsi = "http://www.w3.org/2001/XMLSchema-instance " xsi : schemaLocation=" 
http ： //www.1enovo.com cssDeploy.xsd"> 

< registry_settings /> 

< /tv し deployment 

- <FUNCTI0N> 

<ORDER>0O01</ORDER> 

<COMMAND>USER_PW_RECOVERY_FUNCTION</COMMAN い 
<USER_NAME_PA5AMETER>sabe ふ 'c/USER-NAME-PARAMETE い 
< DOMATnJIA 相 -PARAMETE い IBM-2AA925 客 2C79;D0MAIN_NAME_PARAMETE い 
<USER_P 心 RECIaNSWER _ DATA _ PARAMETE い Testl</USE5_PW_5E し ANSWER_DATA_PARA 
METER> --- ----- 

<USER_PW_REC_ANSWER_DATA_PARAMETE い Test2</USER_PW_REC_ANSWER_DATA_PARA 
METER> --- ----- 

<USER_PW_REC_ANSWER_DATA_PARAMETE い Test3</USER_PW_RE し ANSWER_DATA_PARA 
METER> --- ----- 

<USER_PW_REC_QUESTI0N_C0UNT>3</USER_PW_REC_QUESTI0N_C0UNT> 

<USE に P に RE に QUESTION 三 LIST> 2 OO00 ， 2 05oiT 2 0Q5 2 </USER_Fw_RE し QUESTION_LIST> 
</USE に P に REClSTORED_P お SWORD-PARAMETE い Passlword</USE5_P に RE し STOrEd_PASS 
w5rD こ PAR 麻 1ETER>- _ _ _ _ _ 

<VERSI0N>1.0</VERSI0N> 

</FUNCTI0N> 

</CSSFile> 

GENERATE_MULTLFACTOR_DEV に E_FUNCTION 

このコマンドは、認証に使用される Client Security Solution の多層デバイスを生成 
します。パラメーターは次のとおりです。 

• USER _ NAME_PA 民 AMETE 民-管理者のユーザー名。 

• DOMAIN _ NAME_PARAMETE 民-管理者のド方イン名。 

• MULT し FACTOR _ DEVICE _ USER_AUTH - ユーザーのセキュリティー-キーを作 


成するための Client Security パスフレ'ーズまたは Windows パスワ'ード。 

<?xml version="1.0" encoding="UTF-8" standalone="no" ?> 

<CSSFi1e=xmlns="www.1bm.com/security/CSS"> 

<FUNCTI0N> 
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<ORDER>O0O1</ORDER> 

<COMMAND>GENERATE_MULT し FACTOR_DEVICE_FLmCTION</COMMAND> 

<USER_NAME_PARAME 了 ER>myUserNam 云 </USE に NAME_PARAMETER> 

<DOMATN_NAi^E_PARAMETE い domainName</DOi^AINj^AME_PARAMETER> 

<MULTI_FACTOR_DEVICE_USER_AUTH>myCssUserPassPhrase</MULTI_FACTOR_DEVICE_USER_AUTH> 

< version > i .0<7 version > - - — — - 

</FUNCTION> 

</CSSFile> 


SETUP_PDA_FUNCTION 

このコマンドは、 Client Security Solution と使用するために Rescue and Recovery 
ワークスペースをセットアップします。 

<?xml version="1.0" encoding="UTF-8" standalone="no" ?> 

<CSSFi1e=xmlns="www.1bm.com/security/CSS"> 

<FUNCTI0N> 

<ORDER>00O1</ORDER> 

<COMMAND>SETUP_PDA_FUNCTION</COMMAND> 

< version > i .0</ versTon > 

</FUNCTI0N> 

</CSSFile> 


SET_USER_AUTH_FUNCTION 

このコマンドは、 Client Security Solution のュ' ーザー認証を設定します。 

<?xml version="1.0" encoding="UTF-8" standalone="no" ?> 

<CSSFi1e=xmlns="www.1bm.com/security/CSS"> 

<FUNCTI0N> 

<ORDER>0OO1</ORDER> 

<COMMAND>SET_USER_AUTH_FUNCTION</COMMAND> 

<VERSION>1.0;/VER ミ 10 い — 

</FUNCTI0N> 

</CSSFile> 


スマート-カードの使用 

スマ'—卜•力'ードによってセキュリティー • レベルが強化されます。 Client Security 
So 山 tion 8.3 はユーザー認証にスマート-カードを使用する企業を支援するように設 
計されており、スマート•カードのサポートと機能を備えています。スマート•力 
ードは、 Client Security Solution が Windows ログオンや Password Manager などの 
ユーザー認証を必要とする場合に、システムへのログオンじ使用できます。 

スマート•力ード • パッケージのインストール 

スマート•カード•ミドルウェアは、 Lenovo Web サイトで入手できます。また 
は、スマート•カード製造元から、最新リリースのスマート•カード•ミドルウェ 
アを取得することもできます。 


要件 


次のリストに、スマート-カード機能を持つ Client Security Sokition の要件を示し 
ます。 

• スマート.カード.リーダーは内部に取り付けるか、 USB (ユニバーサル.シリ 
アル-バス）ポートを介して接続する必要があります。 

• スマート • カードを Client Security Solution で使用するには、登録が必要です。 
スマート. カードの登録場所には、 Client Security Solution からアクセスできま 
す。 
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• ユーザーごとに 1 つのスマート•カードのみが登録可能です。 

-デジタル署名用のスマート•カードには、少なくとも1つの証明書がなければな 
りません。カード上で複数の有効な証明書が検出されると、いずれか1つの証明 
書を選択するようにプロンプトで指示されます。 

• スマート-カードの構成には必ず PIN を使用してください。 

スマー ト • 力ー ドの働き 

スマート-カードはクレジット-カードのサイズで、内部にチップが埋め达まれて 
います。スマート•カードをカード•リーダーじ挿入すると、スマート•カードに 
埋め达まれたチップに格納されているデータが読み取られます。 

スマー ト•力ードの登録 

スマ'ート•力' —ド.リーダ'—が検出されると、スマート.力' —ドを Client Security 
Solution に登録することができます。スマート.カード.リーダーが検出されない 
場合、このオプションは無効になります。スマート•カードの登録および登録解除 
を巧っても、 Client Security Solution クレデンシャルは失われません。 

PIN 

プロンプトが出されたら、スマート•カードの PIN を入力する必要があります。ス 
マート•カードを挿入すると、その PIN が検証されます。 PIN の検証後、最初に 
登録された証明書がユーザー認証に使用されます。 Client Security Solution では、 
スマート-カード PIN の入力の最大再試斤回数は適用されません。入力した PIN 
で失敗した場合、 PIN の再入力をホめるプロンプトが出されます。 

Policy Manager のサポート 

Policy Manager では、認証装置としてスマート-カードを使用することを選択でき 
ます。パスワードまたはパスフレーズの使用を選択すると、 Policy Manager でポリ 
シーを設定することによりスマート.カードを オーバー ライドすることができま 
す。 


すべてのユーザーについてスマート.カードを登録解除する場合、 Client Security 
Solution の Policy Manager でスマート•カード•ポリシー.オプシヨンをオフにす 
ることをお勧めします。 


RSA SecurlD 卜ークンの使用 

データ暗号化の暗号化アルゴリズム方式を利用すると、迎 ent Security Solution に加 
えて RSA SecurlD トークンを使用することにより、お客様の企業に多層セキュリテ 
ィーが提供されます。 RSA SecurlD トークンを使用して、ユーザーはユーザーの 
または PIN 、 およびトークン-デバイスを使用してネットワークやソフトウエアで 
認証され、ログインすることができます。トークン•デバイスは、60秒ごとに変わ 
る数字のストリングを表示します。この認証方式では、再使用可能なパスワードと 
比較して格段に信頼性の高いユーザー認証が可能になります。 
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RSA SecurlD ソフトウェア- I クンのインス!ル 

RSA SecurlD ソフトウェアをインストールするには、次のステップを実行します。 

1. 次の Web サイトに進;む。 _ 

http://www.rsasecurity.com/node.asp?id=l 1う日 

2. 登録プロセスを完了します。 

3. RSA SecurlD ソフトウェアをダウンロードおよびインストールします。 

要件 

1. RSA ソフトウェアが Client Security Solution と関連付けられた後に正しく動作 
するには、各 Windows ユーザーが Client Security Solution に登録する必要があ 
ります。 

2. Windows ユーザ'一が Client Security Solution に登録していないと、そのユ'ーザ 
一を認証しようとして、 RSA ソフトウェアはエンドレス•ループに陥ります。 

ユ ー ザ >一 を Client Security Solution に登録するとこの問題は解決します。 

スマート•力ード-アク七ス-オプションの設定 

スマート.カード.アクセス.オプションを設定するには、次のステップを実巧し 
ます。 

1. RSA SecurlD メインイニューから 、 「Tools (ツール)」、 「Smart Card Access 
Options (スマート’カード•アクセス • オプション)」 の順にクリックします。 

2. r Smart Card Communication (スマ'—卜 • カード通信)」ノネルから 、 「Access 
the Smart Card through a PKCS #11 module (PKCS #11 モジュールを使用し 
てスマート-カードにアクセス)」 のラジオ.ボタンを選択します。 

3. 「Browse (参照)」ボタンをクリックして、次のパスまでナビゲートします。 
C:¥Program Fi 1 es¥LEN0V0¥Cllent Security SolutiorWcsspkcsll.dll 

4. csspkcsll . dll ファイルをクリックし 、 「Select (選択)」をクリックします。 

5. 「 OK 」 をクリックします。 

RSA SecurlD ソフトウェア- I クンの手動インス!ル 

RSA SecurlD ソフトウェア*トークンによる Client Security Solution 保護を利用す 
るには、乂のステップを実巧します。 

1. RSA SecurlD ソフトウェア-トークンのメインメニューから 、 「File (フアイ 
ル)」、 「Import Tokens (トークンのインポート)」 の順にクリックします。 

2. SDTID ファイルの場所までナビゲートし 、 「Open (開く）」をクリックします。 

3. 「Select Token 切 to Install (インストールするトークンの還 択)」パネルから、 
インストールしたいソフトウェア-トークンのシリアル番号を強調表示します。 

4. r Transfer Selected Tokens Smart Card (選択したトークンのスマート•カード 

を 転送)」をクリックします。 

注：トークンじ配布パスワードがある場合、プロンプトが出されたらそのパスワ 
ードを入力します。 

5. 「 OK 」 をクリックします。 
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Active Directory のサポート 

次のパスは Client Security Solution の PKCS #11 モジュールがあるデイレクトリ 
一 • パスを示します。 

C:¥Program Fi 1 es¥Lenovo¥Client Security Solution¥csspkcsll.dl1 

Client Security Solution の PKCS #11 モジュ'ールを利用するには、 Active Directory 
にな下のポリシーを設定する必要があります。 

し PKCS #11 署名 
2. PKCS #11 暗号化解除 

次の表に、 PKCS# 11 のポリシーの変更可能フィールドと説明を示します。 

表 10. ThinkVantage¥Client Security Solution¥Authentication Policies¥PKCS# 11 
Signature¥Custom Mode 


フィールド 

CSS.ADM 

変更可能フィールド 

必須 

フィールドの説明 

パスワード、パスフレーズ、またはスマー 
卜-カードが必要であるかどうかを制御しま 
す。 

可能な値 

• Enabled (有効） 

- Every time (旬:回） 

- Once per logon (ログオンごと） 

• Disabled (無効） 

• Not configured (構成されない） 


指紋七ンサー認証の設定とポリシー 

強制的な指紋バイパス-オプション 

指紋バイパス•オプションを使用すると、ユーザーは、指紋認証をバイパスでき、 
Windows パスワードを使用してログオンできます。ユーザーは、新しい登録を追加 
するときに、 Password Manager のユーザー•インターフェースでこのオプションを 
選択または選択解除できます。 

ただし、デフォルトでは、このオプションが選択されていない場合でも、指紋バイ 
パスは有効になります。これは、指紋センサーが機能しなくても、ユーザーが 
Windows にログオンできるようにするためです。強制的な指紋バイパス•オプショ 
ンを無効にするには、义のレジストリー-キーを編集します。 

[HKEY_LOCAL_MACHINE¥SOFTWARE¥Lenovo¥Client Security Solution¥CSS Configuration] 

II GinaSeny Logon Devi ceNonEnrol1 ed"=dword: 00000001 

レジストリー•キーが上記のように設定されると、ユーザーは、指紋センサーが機 
能しないときにも指紋認証をバイパスできません。 
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指紋の読み取り結ま 

指紋認証中は、下記のポリシーによって、指紋の読み取り結果の表示が制御されま 
す。 

HKLM¥Lenovo¥TVT Conimon¥Cl lent Security Sol ution¥FPSw1peResul t 

• FPSwipeResult=0; すべてのメッセージを表示します。 

• FPSwipeResult=l; 失敗のメッセージのみを表示します（デフォルト値)。 

• FPSwipeResult=2; メッセージを表示しません。 


コマンド•ライン- ツール 

企業の IT 管理者はコマンドライン-インターフェースを使用して、ローカルまた 
はリモートから ThinkVantage テクノロジーの機能を実装することもできます。設定 
情報は、リモートのテキスト-ファイル設定を介して保守することができます。 


Client Security Solution には次のコマンド • ライン•ツールがあります。 



Security Advisor 

Security Advisor 機能を使用するには、 Client Security Solution を起動してから、 
「拡張」イニューをクリックして、 Client Security Solution ワークスペースの 
「Security Advisor 」 ボタンをクリックします。システムは wst.exe ファイルを実斤 
します。デフオルトのインストール済み環境では、このファイルは C:¥Progmm 
Files 礼 enovo¥Common Files¥WST¥ デイレクトリーにあります。 

パラ^ーターは次のとおりです。 


表 11 . パラメーター 


パラメーター 

説明 

HardwarePasswords 

ハードウェア.パスワードの値を設定しま 
す。1はこのセクションを表示し、0は隠し 
ます。デフォルト値は1です。 

PowerOnPassword 

パワーオン•パスワードを使用可能にする値 
か、設定にフラグを立てる値を設定します。 

HardDn vePas sword 

ハードディスクのパスワードを使用可能にす 
る値か、設定にフラグを立てる値を設定しま 
す。 

AdministratorPassword 

管理者パスワードを使用可能じする値か、設 
定じフラグを立てる値を設定します。 
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パラメーター 

説明 

WindowsUsersPasswords 

Windows ユーザー.パスワードの値を設定し 
ます。1はこのセクションを表示し、0は隠 
します。このパラメーターが表示されていな 
い場合は、デフォルトで表示されます。 

Password 

ユーザ—.パスワードを使用可能にする値 
力、、設定にフラグを立てる値を設定します。 

PasswordAge 

このマシン上での、 Windows パスワードの使 
用日数の値を設定するか、設定にフラグを立 
てる値を設定します。 

PasswordNeverExpires 

Windows のパスワードが期限切れにならない 
値を設定するか、設定にフラグを立てる値を 
設定します。 

WindowsPasswordPolicy 

Windows パスワード*ポリシ^一の値を設定し 
ます。1はこのセクションを表示し、0は隠 
します。このパラ/ーターが表示されていな 
い場合は、デフォルトで表示されます。 

MinimumPasswordLength 

このマシン上でのパスワードの長さの値を設 
定するか、設定にフラグを立てる値を設定し 
ます。 

MaximumPasswordAge 

このマシン上でのパスワードの使用日数の値 
を設定するか、設定にフラグを立てる値を設 
定します。 

Screensaver 

スクリーン•セーバーの値を設定します。1 
はこのセクションを表示し、0は隠します。 
このパラメーターが表示されていない場合 
は、デフォルトで表示されます。 

ScreenSaverPasswordSet 

スクリーン.セ—バーにパスワードを要求す 
る値を設定するか、設定にフラグを立てる値 
を設定します。 

ScreenSaverTimeout 

このマシン上でのスクリーン.セーバーの夕 
イムアウトの値を設定するか、設定にフラグ 
を立てる値を設定します。 

FileSharing 

ファイル共有の値を設定します。1はこのセ 
クションを表示し、0は隠します。このパラ 
メーターが表示されていない場合は、デフォ 
ルトで表示されます。 

AuthorizedAccessOnly 

ファイル共有のための許可されたアクセスを 
設定する値を設定するか、設定にフラグを立 
てる値を設定します。 

ClientSecurity 

Client Security の値を設定します。1はこの 
セクションを表示し、0は隠します。このパ 
ラメーターが表示されていない場合は、デフ 
ォルトで表示されます。 

EmbeddedSecurityChip 

セキュリティー-チップを使用可能にする値 
を設定するか、設定にフラグを立てる値を設 
をします。 
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パラメーター 

説明 

ClientSecuritySolution 

このマシン上で使用する Client Security 
Solution のバージョンの値を設定するか、設 
をにフラグを立てる値を設定します。 


Client Security Solution 七ットアップ • ウィザード 

Client Security Solution セットアップ • ウイザードは、 XML ファイルを介してデプ 
ロイメント-スクリプトを生成する際に使用します。次のコマンドを実行すると、 
ウィザードのさまざまな機能が表示されます。 

"C:¥Prograni Files¥Lenovo¥Client Security Solution¥css wizard.exe" /? 

次の表に 、 Client Security Solution セツトアップ-ウイザードのコマンドを示しま 
す。 


表 12. Client Security Solution セツ ト アップ*ウイ ザ’ ー ドのコマンド' 


パラメーター 

結果 

化または/? 

ヘルプ•方ッセージ*ボックスを表示します 

/name: FILENAME 

生成されたデプロイメント-ファイルの完全 
修飾パスせよびファイル名の前に付けます。 
このファイルじは拡張子 .xml が付きます。 

/encrypt 

AES 暗号化を使用してスクリプト•ファイル 
を暗号化します。暗号化される場合、そのフ 
ァイル名には. enc が付加されます。 /pass 
コマンドを使用しない場合は、静的パスフレ 
-ズを使用して、ファイルを隠します。 

/pass: 

巧号化されたデプロイメント-ファイルを保 
護するためじ、パスフレーズの前に付けま 
す。 

/novalidate 

ウイザードのパスワードとパスフレーズのチ 
エック機能を使用不可じして、すでに構成済 
みのマシン上でスクリプト-ファイルを作成 
できるようじします。たとえば、現行マシン 
の管理者パスワードは、社内で要求される管 
理者パスワードではないことがありま 
す。 /novalidate コマンドを使用するとユー 
ザーは xml ファイル作成中じ css_wizard 

GUI じ別の管理者パスワードを入力できま 
す。 


例： 

CSS wizard.exe /encrypt /passimy secret /name : C : ¥DeployScnpt /novalidate 
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デプロイメント*ファイルの暗号化または暗号化解除ツール 

このツールは Client Security XML デプロイメント.ファイルの暗号化または暗号 
化解除に使用します。义のコマンドを実行すると、ツールのさまざまな機能が表示 
されます。 

"C:¥Program Files¥Lenovo¥Chent Security Solution¥xmi crypt tool .exe" /? 
パラメーターを 次の表に示します。 

き。' Client Security XML デプロイメント-ファイルを暗号化または暗号化解除するをめの 
パラメーター 


パラメーター 

結果 

化または/? 

ヘルプ* メッセージを表示します。 

FILENAME 

. xml または. enc の拡張子を持つノ^ス名およ 
びファイル名を表示します。 

/encrvpt よたは /decrypt 

XML ファイルじは /encrypt を、 ENC ファ 
イルじは /decrypt を選択します。 

PASSPHRASE 

ファイルを保護するためじパスフレーズを使 
用する場合に必要なオプション•パラメータ 
一を表示します。 


例： 

xml crypt tool .exe ''C:¥Deploy Script .xml" /encrypt "my secret" 
および 

xml_crypt_tool.exe "C:¥DeployScript.xml.enc" /decrypt "my secret" 


デプロイメント-ファイル処理 ツール 

ツール vmserver.exe は Client Security Solution XML デプロイメント* スクリプト 
を処理します。次のコマンドを実斤すると、ウイザードのさまざまな機能が表示さ 
れます。 

"C:¥Program Files¥Lenovo¥Client Security boiution¥vmserver.exe" /? 


次の表に、 ファイルを 処埋するための パラメーターを 示します。 


表 14. ファイル 処理の パラメーター 


パラメーター 

結果 

FILENAME 

FILENAME パラメーターじはファイル拡張 
子 XML または ENC がなければなりませ 
ん。 

PASSPHRASE 

PASSPHRASE パライーターは、拡張子 ENC 
を持つファイルの暗号化解除に使用します。 


例： 

Vmserver.exe C:¥DeployScript.xml.enc "my secret 
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TPMENABLE.EXE 

tpmenable . exe ファイルはセキュリティー • チップをオンにしたりオフにするために 
使用します。 


表 15. tpmenable.exe ファイルのぺラタ' 一夕'一 


パラメーター 

説明 

/enable または /disable 

セキュリティー*チップをオンじしたりオフ 
じしたりします。 

/quiet 

BIOS パスワードまたはエラーのプロンプト 
を隠します。 

s^'.password 

Windows 2000および XP の場合じ限って 
は、 BIOS 管理者/スーパーバイザー.パスワ 
ードは引用符で囲みません。 


例： 

tpmenable.exe /enable /quiet /sp:My BiosPW 

証明書転送ツール 

次の表に 、 Client Security Solution の証明書転送ツールのコマンド • ライン • スイッ 
チを示します。 


表 16. css_cert_transjer_tooLexe <cert_store_tyue> <filter_type> : <name I ぶに e> I al し access I 
usage 


パラメーター 

説明 

< cert _ store _ type > 

これは最初の必須パラメーターです。最初のスイッチと 
して使用し、ホの例のいずれか1つを組み込む必要が 
あります。 

例： 

cert _ store_user 

ユーザー証明書のみを転送します。ユーザー 
証明書は、現在のユーザーじ割り当てられま 
す。 

cer し store_machme 

マシン証明書のみを転送します。マシン証明 
書は、マシン上で許可されたすベてのユーザ 
一が使用できます。 

cert _ store_all 

ユーザー証明書タイプとマシン証明書タイプ 
の両方を転送します。 

< filter _ tvpe>:<name 1 sue > 

これは2番目の必須パラメーターです。必須の 
< cer し store _ type > パラメーターの後じ使用する必要があ 
ります。各フィルター•タイプ（下記を除く）の後には 
コロン 「:」が必要で、 コロンの 直後には、検索ネオ象の 
証明書所有者の名前、権限、または鍵サイズを指定する 
必要があります。このユーティリティーは大/小文字の 
区別があり、検索対象のを前が複合名（例えば 、 "CA 
Authority " など）である場合は、検索条件の前後に二重 
引用符…’を使用する必要があります（例を参照)。 
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表 i 6. css _ cert _ transfer_tooLexe < cert _ store _ type > く fiher _ type > こ <name I size > I al し access I 
usage f 続き J 


パラメータ- 


説明 

例： 

subj ect _ simple _ name : < name > 

証明書の発行先の名前と一致するすべての証 
明書を転送します。所有者の名前は < name > 

じ指定します。 


subj ect_friendl v _ name : < name > 

証明書の発行先のフレンドリー名と一致する 
すべての証明書を転送します。フレンドリー 
名は < name > じ指定します。 


is suer _ simple _ name : < name > 

証明書を発巧した証明機関の名前と一致する 
すべての証明書を転送します。証明機関の名 
前は < name > じ指定します。 


ssue し friendly _ name :< name > 

証明書を発行した証明機関のフレンドリー名 
と一致するすべての証明書を転送します。証 
明機関のフレンドリー名は < name > じ指定し 
ます。 


key _ size : く size > 

鍵サイズ < size > (ビット単粒で暗号化され 
たすベての証明書を転送します。これは完全 
一致突き合わせ基準であることじ注意してく 
ださい。プログラムは、そのサイズ K 上また 
はそのサイズ K 下の雛サイズで暗号化された 
証明書を検索しません。 


かの 2 つのスイッチはスタンドアロンです。これらじは2番目の引数はありません。 


all access 


すべての証明書を転送します。フィルターじ掛けないでください。 


usage 


コマンド-ラインに関する情報は提供しませんが、正しい使用法を判別するた 
めじ使用される関数じよって、受け渡されたコマンドが正しいかどうかじ応じ 
て、 true または false が返されます。 


TPM 有効化ツール 

中 m _ activate _ cmd . exe ファイルは、 Lenovo システム上で TPM を有効化または無効 
化するために使用されます。 

注：このコマンドを実行するためには、管埋者権限が必要です。 

表口' Lenovo システムで TPM を有効化または無効化するためのパラメーター 


パラメーター 

説明 

/ help または/? 

パラメーターのリストを表示します。 

/ biospw:D 幻ぶぶ woM 

BIOS スーパーバイザーまたは管理者のパス 
ワードが設定されている場合は、それを指定 
します。 

/deactivate 

TPM を無効化します。 

ミ 主： パラメーター / deactivate を指定して 
tpm _ activate _ cmd . exe を実す了うると、フ■ノオ 
ルトで TPM が有効化されます。 

/verbose 

テキスト出力を表示します。 
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例： 

tpm activate cmd.exe /? 
tpm_activate_cmd.exe /verbose 
tpm_activate_cmd.exe /biospw：poss 


Active Directory のサポート 

Active Directory はディレクトリー.サービスです。ディレクトリーは、ユーザーお 
よびリソースに関する情報が保をされている場所です。ディレクトリー-サービス 
によりアクセスが許可されるため、これらのリソースを操作することができます。 

Active Directory が提供する機構により、管埋者は PC 、 グループ、ユーザー、ドメ 
イン、セキュリティー•ポリシー、およびすベてのタイプのユーザー定義オブジェ 
クトを管埋する機能を得られます 。 Active Directory がこの機能を付与するために使 
用する機構のことを、グループ•ポリシーといいます。管理者は、グループ•ポリ 
シーを使用して、 PC やユーザーに適用できる設定をドメイン中に定義します。 

現巧 ThinkVantage テクノロジー製品が使用している、プログラム設定の制御に使用 
する設定値を収集する方式には、特定のアプリケーション定義レジストリー項目か 
らの読み取りなど、さまざまな方式があります。 

な下に 、 Active Directory が管理できる迎 ent Security Solution の設定の例を示しま 
す。 

• セキュリティー•ポリシー 

• カスタム•セキュリティー•ポリシー （ Windows パスワードまたは Client 
Security Solution パスフレーズを使用するかどうか、など） 

管理用 ( ADM ) テンプレート-ファイル 

ADM (管埋用）テンプレート-ファイルは、クライアント PC 上のアプリケーショ 
ンで使用されるポリシー設定を定義します。ポリシーとは、アプリケーションの動 
作を管理する特定の設定のことです。ポリシー設定は、ユーザーがアプリケーショ 
ンを使用して特定の設定値を設定できるかどうかも定義します。 

サーバー上の管理者が定義する設定は、ポリシーとして定義されます。クライアン 
卜 PC 上のユーザーが定義する、アプリケーションに関する設定は、プリファレン 
スとして定義されます。 Microsoft 社による定義のとおりに、ポリシー設定はプリフ 
ァレンスより優先します。 

例えば、ユーザーは自分のデスクトップ上に背景イメージを表示することができま 
す。これは、ユーザーのプリファレンス設定です。管埋者は、ユーザーが特定の背 
景イメージを使用しなければならないことを決定する設定をサーバー上で定義でき 
ます。管埋者のポリシー設定は、ユーザーによるプリファレンス設定をオーバーラ 
イドします。 

ThinkVantage Technology 製品が設定を確認する際に、义の順序で設定を検索しま 
す。 

• コンピュ ■ 一 う' —.ポリシ'— 

•ユ ■ —ザ'—.ポリシ'一 
• デフオルトのユーザー•ポリシー 


第 3 章 Client Security Solution での作業 51 



• PC プリファレンス 
• ユーザー •プリファレンス 
• デフォルトの ユーザー •プリファレンス 

前述のように、コンピューター•ポリシーとユーザー•ポリシーは、管埋者によっ 
て定義されます。 XML 構成ファイルか Active Directory のグループ*ポリシーを使 
用してこれらの設定値を初期化できます。 PC プリファレンスとユーザー•プリファ 
レンスは、クライアント PC 上のユーザーによって、アプリケーション•インター 
フェース内のオプションを使用して設定されます。デフォルトのユーザー•プリフ 
ァレンスは、 XML 構成スクリプトによって初期化されます。ユーザーは値を直接に 
は変更しません。ユーザーがこれらの設定値に変更を加えるには、ユーザー•プリ 
ファレンスを更新します。 


Active Directory を使用していないお客様は、クライアント • システムにデプロイさ 
れるポリシー設定のデフォルト•セットを作成することができます。管埋者は、 

XML 構成スクリプトを変更して、製品のインストール時にそれらが処理されるよう 
に指定することができます。 

管埋可能設定の定義 

この例では、かの階層を使用して、グループ•ポリシー-エディター内に設定を表 
示しま3—。 

Computer Configuration>Adniinistrative Tempiates>ThinkVantage Technologies> 

Client Security Solution>Authentication Policies>Max Retries> 

Password number of retries 


ADM ファイルは、レジストリー内の、設定が反映される場所を示します。これら 
の設定は、レジストリー内の义の場所になければなりません。 


Computer policies : 

HKLM¥Software¥Policies¥Lenovo¥Cl ient Security Sol ution¥ 

User policies ： 

HKCU¥Software¥Policies¥Lenovo¥Client Security Solution¥ 

Default user policies: 

HKLM¥Software¥Policies¥Lenovo¥Client Security Solution¥User defaults 


Computer preferences : 

HKLM¥Software¥Lenovo¥Client Security Solution¥ 

User preferences ： 

HKCU¥Software¥Lenovo¥Client Security Solution¥ 

Default user preferences : 

HKLM¥Software¥Lenovo¥Client Security Solution¥User defaults 


グループ-ポリシーの設定 

このセクションの表には、 Client Security Solution の PC 構成および'ユーザー構成 
のポリシー設定が記載されています。 
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再試行の最大回数 

次の表に、「認証ポリシー」の「再試行の最大回数」のポリシー設定を示します。 


表 18. コンピュータの構ぶ > 管理用テンプレート > 従来の管理用テンプレート ( ADM ) > 
ThinkVantage > Client Securitv Solution > Authentication Policies > Max Retries 


ポリシー 

有効な設定 

説明 

Password number of 

retries 

再試行の最大回 
数は20です。 

ポリシーをオーバーライドする前に、認証のためじ 
ユーザーが Windows パスワードを使用できる最大回 
数を制御します。 

Passphrase number 

of retries 

再試行の最大回 
数は20です。 

ポリシーをオーバーライドする前に、認証のために 
ユーザーが Client Security パスフレーズを使用でき 
る最大回数を制御します。 


よりま全 

次の表に、「認証ポリシ'一」の「保護モード」のポリシ'一設定を示します。 


表 19 . コンピュータの構成 > 管理用テンプレート > 従来の管理用テンプレート が OW > 
ThinkVantage > Client Security Solution > Authentication Policies > Secure Mode 


ポリシー 

有効な設定 

説明 

Password 

頻度を 「Every time (毎回)」または 
「Once per logon (ログオンの 度に 1 

回)」じ設定します。 

パスワードが必要であるかどう 
かを制御します。 

Passphrase 

頻度を 「Every time (毎回)」または 
「Once per logon (ログオンの 度に1 

回)」じ設定します。 

パスフレーズが必要であるかど 
うかを制御します。 

fingerprint 

頻度を 「Every time (毎回)」または 
「Once per logon (ログオンの 度じ1 

回)」じ設定します。 

指紋が必要であるかどうかを制 
御します。 

Override 

パスワード、パスフレーズ、または指紋 
をオーバーライドするようじ設定しま 
す。 

通常の認証が失敗した場合の 
「フォールバック」認証の要件 
を定義します。 


デフォルト*モード 

次の表に、「認証ポリシ'一」の「デフォルト•モ'ード」のポリシー設定を示しま 
す。 


表 20 . コンピュータの構成 > 管理用テンプレート > 従来の管理用テンプレート が> 
ThinkVantage > Client Securitv Solution > Authentication Policies > Default Mode 


ポリシー 

有効な設定 

説明 

Password 

頻度を 「Every time (毎回)」または 
「Once per logon (ログオンの度に 1 

回)」じ設定できます。 

パスワードが必要であるかどう 
かを制御します。 

Passphrase 

頻度を 「Every time (毎回)」または 
「Once per logon (ログオンの 度に1 

回)」じ設定できます。 

パスフレーズが必要であるかど 
うかを制御します。 
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表 20. コンピュータの構成 > 管理用テンプレート > 従来の管理用テンプレート ( ADM ) > 
ThinkVantage > Client Securitv Solution > Authentication Policies > Default Mode (^綻き^ 


ポリシー 

有効な設定 

説明 

fingerprint 

頻度を 「Every time (毎回)」または 
「Once per logon (ログオンの度に 1 

回)」じ設定できます。 

指紋が必要であるかどうかを制 
御します。 

Smart card 

頻度を 「Every time (毎回)」または 
「Once per logon (ログオンの度に 1 

回)」じ設定できます。 

スマート*カードが必要である 
かどうかを制御します。 

Override 

パスワード、パスフレーズ、または指紋 
をオーバーライドするようじ設定しま 
す。 

通常の認証が失敗した場合の 
「フォールバック」認証の要件 
を定義します。 


認証ポリシー 

次のポリシーのリストには、各ポリシーの認証レベルを定義する有効な設定が記載 
されています。 

• Windows logon (Windows へのログオン） 

• System unlock (PC のロック解除） 

• Password manager (Password Manager を開く） 

• CSP signature (CSP シグニチャー） 

• CSP decryption (CSP 暗号化解除） 

• PKCS#11 signature (PKCS#11 シグニチヤー） 

• PKCS#1 1 decryption (PKCS#11 暗号化解除） 

• PKCS#11logon (PKCS#11 ログオン） 


次の表に、上記の認証レベルに対する値および設定を示します。 


表。' コンピュータの構成 > 管理用テンプレート > 従来の管理用テンプレート ( ADM ) > 
ThinkVantage > Client Security Solution > Authentication Policies 


ポリシー 

有効な設定 

説明 

Password 

頻度を 「Every time (毎回)」または 
「Once per logon (ログオンの度じ 1 

回)」じ設定します。 

パスワードが必要であるかどう 
かを制御します。 

Passphrase 

頻度を 「Every time (毎回)」または 
「Once per logon (ログオンの度じ 1 

回)」に設定します。 

パスフレーズが必要であるかど 
うかを制御します。 

fingerprint 

頻度を 「Every time (毎回)」または 
「Once per logon (ログオンの度(こ 1 

回)」じ設定します。 

指紋が必要であるかどうかを制 
御します。 

Smart card 

頻度を 「Every time (毎回)」または 
「Once per logon (ログオンの度じ 1 

回)」じ設定します。 

スマート*カードが必要である 
かどうかを制御します。 

Override 

パスワード、パスフレーズ、または指紋 
をオーバーライドするようじ設定しま 
す。 

通常の認証が失敗した場合の 
「フォールバック」認証の要件 
を定義します。 
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Password Manager 

次の表に 、 Password Manager のポリシー設定を示します。 


表 22. コンピュータの構成 > 管理用テンプレート > 従来の管理用テンプレート ( ADM ) > 
ThinkVantage > Client Security Solution > Password Manager ' 


ポリシー設定 

説明 

Disable Password manager 

システム始動時じ Password Manager が開始するかどうか 
を制御します。 

Disable Internet Explorer support 

Password Manager カミ' Internet Explorer からパスワードを 
保存できるかどうかを制御します。 

Disable Mozilla support 

Password Manager が Mozilla ベース* ブラウザー （Firefox 
および Netscape など）からパスワードを保存できるかど 
うかを制御します。 

Disable support for Windows 
applications 

Password Manager が Windows アプリケーシヨンからパス 
ワードを保存できるかどうかを制御します。 

Disable Auto-fill 

Password Manager が Web サイトおよび Windows アプリ 
ケーシヨンへのデータの Auto - fill を斤うかどうかを制御 
します。 

Disable Hotkey support 

Password Manager が Web サイトおよび Windows アプリ 
ケーシヨンじデータを入力するためのホット*キーの使用 
をサポートするかどうかを制御します。 

Use Domain filtering 

Password Manager がド^インじ基づいて Web サイトをフ 
ィルタリングするかどうかを制御します。 

Prohibited Domains 

Password Manager がパスワードの保存を禁止されている 
ドメインを制御します。 

Prohibited URLs 

Password Manager がパスワードの保存を禁止されている 
URL を制御します。 

Prohibited Modules 

Password Manager がパスワードの保存を禁止されている 
Windows アプリケーシヨンを制御します。 

Auto-fill Hotkey 

Auto-fill Hotkey の Ctrl + F 2 を制御します。 

Type and Transfer Hotkey 

Type and Transfer Hotkey の Ctrl + Shift + H を制御しま 
す。 

Manage Hotkey 

ホット.キーの Ctrl + Shift + B を制御します。 


ユ—ザ—.インタ— フエ— ス 

次の表に、「ユーザ— r ンターフェース」のポリシー設定を示します。 


表"' コンピュータの構成> 管理用テンプレート> 従来の管理用テンプレート ( ADM ) > 
ThinkVantage > Client Security Solution > User Interface 


ポリシー設定 

説明 

fingerprint software option 

Client Security Solution アプリケ^ーシヨンの指紋認証ソフ 
トウエアのオプションを表示するか、ぼかすか、非表示に 
します。デフォルト；表示。 

tile encryption option 

Client Security Solution アプリケーシヨンのファイル暗号 
化オプションを表示するか、ぼかすか、非表示じします。 
デフォルト：表示。 
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表 23. コンピュータの構成 > 管理用テンプレート > 従来の管理用テンプレート ( ADM ) > 
ThmkVantage > Ghent Securitv Solution > User Interface (^続き） 


ポリシー設定 

説明 

Security settings audit option 

Client Security Solution アプリケーシヨンのセキュリティ 
一設定の監査オプションを表示するか、ぼかすか、非表示 
じします。デフォルト：表示。 

Digital certificate transfer option 

Client Security Solution アプリケーションのデイジタル証 
明書の転送オプションを表示するか、ぼかすか、非表示に 
します。デフォルト：表示。 

Change security chip status 
option 

Client Security Solution アプリケーシヨンのセキュリティ 
一. チップの状態オプションを表示するか、ぼかすか、非 
表示じします。デフォルト：表示。 

Clear security chip lockout 
option 

Client Security Solution アプリケーシヨンのセキュリティ 
一. チップのロックアウト • オプションを表示するか、ぼ 
かすか、非表示じします。デフォルト：表示。 

Policy manager option 

Client Security Solution アプリケーシヨンの Policy 
manager オプションを表示するか、ぼかすか、非表示じし 
ます。デフォルト：表示。 

Reset / じ onfigure settings option 

Client Security Solution アプリケーシヨンの構成ウイザー 
ド•オプションを表示するか、ぼかすか、非表示じしま 
す。デフォルト：表示。 

Password manager option 

Client Security Solution アプリケーシヨンの Password 
manager オプションを表示するか、ぼかすか、非表示じし 
ます。デフォルト：表示。 

Hardware Password Reset option 

Client Security Solution アプリケーシヨンのハードウエ 
ア-パスワードのリセット*オプションを表示するか、ぼ 
かすか、非表示じします。デフォルト：表示。 

Windows password recovery 
option 

Client Security Solution アプリケーシヨンの Windows パ 
スワードの復元オプションを表示するか、ぼかすか、非表 
示じします。デフォルト：表示。 

Change authentication mode 
option 

Client Security Solution アプリケーシヨンの認証モードの 
変更オプションを表示するか、ぼかすか、非表示にしま 
す。デフォルト：表示。 

Set up smart card option 

Client Security Solution アプリケーシヨンのスマート•力 
ードの設定オプションを表示するか、ぼかすか、非表示に 
します。デフォルト：表示。 

Enable/disable Windows 

password recovery option 

Client Security Solution アプリケーシヨンの、 Windows パ 
スワードの復元を有効/無効じするためのオプションを表示 
するか、ぼかすか、非表示じします。デフォルト：表示。 

Enable/disable Password Manager 
option 

Client Security Solution アプリケーシヨンの、 Password 
Manager を有効/無効じするためのオプションを表示する 
か、 ぼかすか、非表示じします。デフォルト：表示。 


56 Client Security Solution 8.3 デプロイ メント•ガイド 

















ワークステーション*セキュリティー*ツール 

次の表に、「ワークステーション•セキュリティー•ツール」のポリシー設定を示 
します。 

表 24 . コンピュータの構成 > 管巧用テンプレート > 従来の管理用テンプレート ( ADM ) > 
ThmkVantage > Client Security Solution > Workstation Security loot 


ポリシー 

設定 

説明 

Hardware Passwords 

Hardware Passwords 

ハードウエア-パスワード情報の表示を有効 
または無効にします。 

Hardware Passwords 

Power-On Password 

推奨値を有効または無効として選択するか、 
この設定を無視することを選択します。 

Hardware Passwords 

Hard Drive Password 

推奨値を有効または無効として選択するか、 
この設定を無視することを選択します。 

Hardware Passwords 

Administrator Password 

推奨値を有効または無効として選択するか、 

この設定を無視することを選択します。 

Windows Users 

Passwords 

Windows Users 

Passwords 

Windows ユーザー.パスワード情報の表示を 
有効または無効じします。 

Windows Users 

Passwords 

Password 

推奨値を有効または無効として選択するか、 
この設定を無視することを選択します。 

Windows Users 

Passwords 

Password Age 

パスワードが許可される最大日数。 

Windows Users 

Passwords 

Password never expires 

推奨値を 「 True 」 、 「 False 」 、または 
「 Ignore 」 じ設定することができます。 

Windows Password 

Policy 

Windows Password 

Policy 

Windows パスワード • ポリシー情報の表示を 
有効または無効じします。 

Windows Password 

Policy 

Minimum number of 

characters in the 

password 

パスワードの最小文字数を指定するか、この 
値を「無視」します。 

Windows Password 

Policy 

Maximum password age 

パスワードの最大使用日数（日数）を設定す 
るか、結果でこの値を「無視」します。 

Screen Saver 

Screen Saver 

Windows パスワード*ポリシー情報の表示を 
有効または無効じします。 

Screen Saver 

Screen Saver password 

set 

パスワードの最小文字数を指定するか、この 
値を「無視」します。 

Screen Saver 

Screen Saver timeout 

パスワードの最大使用日数（日数）を設定す 
るか、結果でこの値を「無視」します。 

File Sharing 

File Sharing 

ファ イ ル共有情報の表示を有効または無効に 
します。 

File Sharing 

Authorized access 

推奨値を 「 True 」 、 「 False 」 、または 
「 Ignore 」 じ設定することができます。 

Client Security 

Client Security 

Client Security 情報の表示を有効または無効 
じします。 

Client Security 

Embedded Security 

Chip 

推奨値を有効または無効として選択するか、 

この設定を無視することを設定します。 

Client Security 

Client Security Solution 

Version 

Client Security Solution の最小推奨バージヨ 
ンを設定するか、 「 Ignore 」 を設定します。 


第 3 章 Client Security Solution での作業 57 
























58 Client Security Solution 8.3 デプロイ メント•ガイド 


第 4 章 ThinkVantage 指紋認証ソフトウェアでの作業 

指紋コンソールは ThinkVantage 指紋認証ソフトウェア•インストール-フォルダー 
から実行する必要があります。基本的な構文は FPRCONSOLE [USER I SETTINGS ] 
です。 USER コマンドまたは SETTINGS コマンドは、使用する操作モードを指定し 
ます。完全なコマンドは 「fprconsole user add TestUser 」 のようになります。コマン 
ドがわからない場合やすべてのパラメーターが指定されていない場合は、短いコマ 
ンド-リストがパラメーターと共に表示されます。 

ThinkVantage 指紋認証ソフトウェア、インストールの説明、管理コンソール、およ 
び関連するすべての資料は、な下の Web サイトで入手できます。 
http :// www -307. ibm . com / pc / support / site . wss / TVAN - EAPFPR.html 


管理コン ソー ル-ツール 

この セクションでは、 ユーザー 固有 コマンドとグローバル 設定の コマンド に関する 
情報を提供します。 

ユーザー固有コマンド 

ユーザーの 登録や編集を巧う場合は、 USER セクションを使用します。現斤 ユーザ 
一が管理者権限を持っていない場合、 コンソールの 振る舞いは指紋認証 ソフト ウェ 
アのセキュリティー •モードに よって異なります。保護 モード： どの コマンド も許可 
されません。簡易 モード： 標準 ユーザーでは、 ADD 、 EDIT 、 および DELETE コマ 
ン ドが使用できます。ただし、 ユーザーは 自分のパスポート （ユーザー 名で登録）し 
か変更できません。構文は次のとおりです。 


FPRCONSOLE USER command 

このとき、 command は乂のコマンドの1つです： 
ADD 、 EDIT 、 DELETE , LIST 、 IMPORT , EXPORT 。 


表 25 . ユーザー固有コマンド 


コマンド 

構文 

説明 

新規ユーザーの登録 

ADD [username [| domain 等 

ユーザー名が指定されない場合 

Example: 

username ]] 

は、現巧ユーザー名が使用され 

Tprconsole user add 


ます。 

domain 0 ¥testuser 



fprconsole user add 



testuser 



登録ユーザーの編集 

EDIT [username [| domain ^ 

ユーザー名が指定されない場合 

Example; 

username ]] 

は、現行ユーザー名が使用され 

fprconsole user edit 


ます。 

domainO¥testuser 


ミま：登録されるユーザーはまず 

fprconsole user edit 


自分の指紋を検査する必要があ 

testuser 


ります。 


◎ Copyright Lenovo 200 8, 2009 
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表 25. ユーザー固有コマンド f 統を ) 


コマンド 

構文 

説明 

ユーザーの削除 

Example: 

Tprconsole user delete 
domainO¥testuser 

fprconsole user delete 
testuser 

fprconsole user delete 
/ALL 

DELETE [username [| domain 等 
username | /ALL]] 

/ALL フラグは、この PC じ登 
録されているすべてのユーザー 
を削除します。ユーザー名が指 
定されない場合は、現行ユーザ 
一名が使用されます。 

登録ユーザーの列挙 

Li St 

登録されたユーザーをリストし 
ます。 

登録ユーザーのファイ 
ルへのエクスポート 

Syntax: EXPORT username 
[1 domain¥username] file 

このコマンドは、登録ユーザー 
をハードディスクのファイルじ 
エクスポートします。ユーザー 
は次に、別の PC 上、またはユ 
ーザーが削除されている場合は 
同じ PC 上の IMPORT コマン 
ドを使用してインポートできま 
す。 

登録ユーザーのインポ 
ート 

Syntax: IMPORT file 

このコマンドは指定したファイ 
ルからユーザーをインポートし 
ます。 

ミ主：ファイル上のユーザーが同 
じ指紋を使用してすでに同じ 

PC じ登録されている場合は、 

識別操作でどちらのユーザーが 
優先順位を持つかは保証されま 
せん。 


グローバル設定のコマンド 

指紋認証ソフトウェアのグローバル設定は、 SETTINGS セクションじよって変更で 
きます。このセクションのすべてのコマンドには、管埋者権限が必要です。構文は 
次のとおりです。 

FPRCONSOLE SETTINGS command 

このとき、 command は乂のコマンドの1つです： 

SECUREMODE 、 LOGON 、 CAD 、 TBX 、 SSO 。 


表 26. グローバル設定のコマンド 


コマンド 

構文 

説明 

セキユリテイ ー*モード 

Example: 

To set to convenient mode ： 
fprconsole settings 
securemode 0 

SECUREMODE 0|l 

この設定は、指紋認証ソフトウェ 
アの簡易モードと保護モードを切 
り替えます。 
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ま 26. グローバル設定のコマンド（続き ) 


コマンド 

構文 

説明 

ログオン-タイプ 

LOGON 0|1 [/ FUS ] 

この設定は、ログオン•アプリケ 
-シヨンを使用可能（1)、または 
使用不可 （0) にします。 / FUS パ 
ラメーターを使用する場合 、 PC 
の構成上可能であれば、ユーザー 
の簡易切り替えモードでログオン 
が可能です。 

CTRL + ALT+DEL メッセージ 

CAD 0|1 

この設定は、ログオンでの 
「 Ctrl + Alt + Delete を押す」テキス 
卜を使用可能（1)、または使用不 
可 （0) じします。 

パワーオン-セキュリティー 

TBX 0|1 

この設定は、指紋認証ソフトウェ 
アのパワーオン.セキュリティ 
—• サポートをグローパルにオフ 
の）じします。パワーオン•セキ 
ュリティー-サポートがオフじな 
っている場合は、 BIOS 設定に関 
係なく、パワーオン•セキュリテ 
ィ ー. ウィザードやパワーオン. 
セキュリティー • ページは表示さ 
れません。 

パワーオン-セキュリティー*シン 
グル•サインオン 

SS 0 0|1 

この設定は、ユーザーが BIOS で 
検査された際に、自動的にユーザ 
一をログオンさせるための logon 
で、 BIOS で使用される指紋を使 
用可能（1)、または使用不可 （0) 
じします。 


保護モードおよび簡易モード 

指紋認証ソフトウェアは、保護モードと簡易モードの2つのセキュリティー•モー 
ドで実行することができます。保護モードは、より高レベルのセキュリティーが必 
要な状況を対象としています。特定の機能は管埋者にのみ、確保されています。追 
加認証をせず、パスワードを使用してログオンできるのは管埋者だけです。 


簡易モードは高レベルのセキュリティーをそれほど重要視しない、家庭用 PC を巧 
象にしています。すべてのユーザーは、他のユーザーのパスポートの編集およびパ 
スワードを使用して（指紋認証は行わない）システムにログオンするなどの、すべて 
の操作を実行できます。 

管理者は、 ローカル管埋者グループの任意のメンバーです。保護モードを設定した 
後は、管埋者だけが簡易モードに切り替えることができます。 

保護モード-管理者 

セキュリティーを強化するために、ログオンのとき、誤ったユーザー名やパスワー 
ドが入力された場合は、保護モードでは乂のメッセージが表示されます。「ユーザ 
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一名とパスワードでこの PC にログオンできるのは管埋者だけです。」 


表 2 ス 保護モードでの管理者用オプション 


指紋 

説明 

新規パスポートの作成 

管理者は自分のパスポートを作成することが 
でき、また、制限ユーザーのパスポートも作 
成することができます。 

パスポートの編集 

管理者は自分のパスポートだけを編集でき 
ます。 

パスポートの削除 

管理者はすべての制限ユーザーとその他の管 
理者のパスポートを削除できます。他のユー 
ザーがパワーオン*セキュリティーを使用し 
ている場合、管理者はパワーオン•セキュリ 
ティーからユーザー • テンプレートをオプシ 
ョンで削除することができます。 

パワーオン-セキュリティー 

管理者は、パワーオンで使用される制限ユー 
ザーおよび管理者の指紋を削除することがで 
きます。 

ミ主：パワーオン•モードが使用可能な場合 
は、少なくとも1つの指紋がなければなり 
ません。 

設定 

ログオン設定 

管理者はすべてのログオン設定を変更できま 
す。 

保護スクリーン-セーバー 

管理者はアクセスできます。 

パスポート-タイプ 

管理者はアクセスできます-サーバーと関連 
ある場合のみです。 

セキユリティー-モード 

管理者は保護モードと簡易モードを切り替え 
ることができます。 

Pro サーバー 

管理者はアクセスできます-サーバーと関連 
ある場合のみです。 


保護 モー ド-制限 ユーザー 

Windows にログオン中は、制限ユーザーはログオンに指紋を使用する必要がありま 
す。制限ユーザーの指紋センサーが作動していない場合は、管埋者は指紋認証ソフ 
トウエアの設定を簡易モードに変更して、ユーザー名とパスワードじよるアクセス 
を可能にする必要があります。 


を 28 . 保護モードでの制限ユーザー用オプション 


設定 

説明 

新規パスポートの作成 

制限ユーザーはアクセスできません。 

パスポートの編集 

制限ユーザーは自分のパスポートだけを編集 
できます。 

パスポートの削除 

制限ユーザーは自分のパスポートだけを削除 
できます。 

パワーオン-セキユリティー 

制限ユーザーはアクセスできません。 
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表 28. 保護モードでの騎限ユーザー用オプション f 続き) 


設定 

説明 

ログオン設定 

制限ユーザーはログオン設定を変更できませ 
ん。 

保護スクリーン-セーバー 

制限ユーザーはアクセスできます。 

パスポート-タイプ 

制限ユーザーはアクセスできません。 

セキュリティー*モード 

制限ユーザーはセキュリティー*モードを変 
要できません。 

Pro サーバー 

制限ユーザーはアクセスできます-サーバー 
と 関連ある場合のみです。 


簡易モード-管理者 

Windows へのログオン中は、管埋者はユーザー名とパスワードを使用しても、指紋 
を使用してもログオンできます。 


表 29. 簡易モード での管理者用オプション 


設定 

説明 

新規パスポートの作成 

管理者は自分のパスポートだけを作成でき 
ます。 

パスポートの編集 

管理者は自分のパスポートだけを編集でき 
ます。 

パスポートの削除 

管理者は自分のパスポートどけを削除でき 
ます。 

パワーオン-セキュリティー 

管理者は、パワーオンで使用される制限ユー 
ザーおよび管理者の指紋を削除することがで 
きます。 

ま：パワーオン-モードが使用可能な場合 
は、少なくとも1つの指紋がなければなり 
ません。 

ログオン設定 

管理者はすべてのログオン設定を変更できま 
す。 

保護スクリーン-セーバー 

管理者はアクセスできます。 

パスポート-タイプ 

管理者はアクセスできます-サーバーと関連 
ある場合のみです。 

セキュリティー*モード 

管理者は保護モードと簡易モードを切り替え 
ることができます。 

Pro サーバー 

管理者はアクセスできます-サーバーと関連 
ある場合のみです。 


簡易 モー ド-制限 ユーザー 

Windows への ログオン中は、制限ユーザーはユーザー名とパスワードを使用して 
も、指紋を使用してもログオンできます。 
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表 30 . 簡易モード での制限ユーザー用オプション 


設定 

説明 

新規パスポートの作成 

制限ユーザーは自分のパスワードだけを作成 
できます。 

パスポートの編集 

制限ユーザーは自分のパスポートだけを編集 
できます。 

パスポートの削除 

制限ユーザーは自分のパスポートだけを削除 
できます。 

パワーオン-セキュリティー 

制限ユーザーは自分の指紋だけを削除できま 
す。 

ログオン設定 

制限ユーザーはログオン設定を変更できませ 
ん。 

保護スクリーン-セーバー 

制限ユーザーはアクセスできます。 

パスポート-タイプ 

制限ユーザーはアクセスできません-サーバ 
一と関連ある場合のみです。 

セキュリティ ー*モード 

制限ユーザーはセキュリティー•モードを変 
更できません。 

Pro サーバー 

制限ユーザーはアクセスできます-サーバー 
と関連ある場合のみです。 


構成可能な設定 

指紋認証ソフトウェアの一部のオプションはレジストリー設定で構成することがで 
きます。 

-起動前/パワーオン 時 ソフトウェア•インターフェース： 指紋の起動前またはパワ 

ーオン時サポートを有効にし、指紋をコンパニオン-チップに格納するための機 
構は、システムに BIOS またはハードディスク•パスワードが設定されていない 
限り、通常は指紋認証ソフトウェアに表示されません。この動作をオーバーライ 
ドし、 BIOS またはハードディスク•パスワードが設定されていなくてもこれら 
のオプションを強制的に表示させるには、レジストリーにな下のいずれか（使用 
しているコンピューター-マシン-タイプに適用されるもの）を追加します。 
[HKEY_LOCAL_MACHINE¥SOFTWARE¥Protector Suite QL¥ し 0] 

REG_DW0RD "BiosFeatures" = 2 
または 

[HKEY LOCAL MACHINE¥SOF™ARE¥Protector' Suite QL¥ し 0] 


REG_DW0RD "BiosFeatures" = 4 

この設定は、 BIOS パスワードが設定されていないシステムに SafeGuard Easy が 
インストールされ、その Safe 加 ard Easy がハードデイスクを暗号化解除するの 
に指紋認証を利用している場合に役立ちます。 
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•音：指紋認証ソフトウェアは、指紋認証プロセスの実行中のさまざまな状況下に 
おいて、 . wav ファイルに含まれる音を再生するように構成できます。これらの音 
のレジストリー設定は次のとおりです。 

[HKEY_LOCAL_MACHINE¥SOFTWARE¥Protector Suite QL¥1.0¥settings] 

'Success' 

REG SZ "sndSuccess" = [path to sound file] 

The file designated wi11 play whenever a successful swipe is registered. 

'Fai1ure' 

REG_SZ "sndFai1ure" = [path to sound fi1e] 

The fi1e designated wi11 play whenever an unsuccessful swipe is attempted. 

HKEY_L0CA し MACHINE¥SOrrWARE¥Policies¥fingerprint 

'Scan' 

REG_SZ "sndScan" = [path to sound file] 

The file designated will play whenever the fingerprint verification 
dialog is displayed for Client Security Solution-related operations. 

If the value is not present or is empty then no sound is played. 

IQuality' 

REG_SZ "sndQuality" = [path to sound file] 

The file designated will play whenever an unreadable swipe has occurred. 

If the value is not present or is empty then no sound is played. 

• システム•ロック解除中のパスワードの有効性検 謡：デフォルトでは、システ 
ム.ロック解除中には、保存されているパスワードが指紋認証ソフトウェアによ 
って有効性が検証されます。有効性検証では、ドメイン•コントローラーと連絡 
を取る必要があり、遅延が生じる可能性があります。遅延を回避するには、シス 
テム.ロック解除中にかのようにレジストリーを編集して、パスワードの有効性 
検証を無効にします。 

[HKEY LOCAL MACHINE¥SOFTWARE¥Protector Suite QL¥1.0¥settings] 

REG_DW0RD "DoNotTestUnlock"=l 

指紋認証ソフトウェアはシステム-ログオン時には、引き続きパスワードの有効 
性を検証します。 

注：上記のレジストリー•キーを1に設定すると、ドメイン管埋者がユーザーの 
システムをロックする時期を変更した場合は、ユーザーがログオフして再度ログ 
オンするまで、指紋認証ソフトウェアには旧パスワードが保存されます。 


指紋認証ソフトウェアおよび Novell Netware Client 

競合を防止するために、指紋認証ソフトウェアおよび Novell NetWare Client のユー 
ザー名とパスワードは一致する必要があります。お使いの PC に指紋認証ソフトウ 
ェアがインストールしてあり 、 Novell Netware Client をインストールする場合は、 
レジストリーの一部の項目が上書きされることがあります。指紋認証ソフトウェア 
のログオンで問題が発生した場合は、ログオン設定画面に移動して、ログオン•プ 
ロテクターを再度使用可能にしてください。 

お使いの PC に Novell Netware Client がインストールされていても、指紋認証ソフ 
トウェアのインストール前にクライアント PC にログオンしていなかった場合、 
Novell のログオン画面が表示されます。画面で、必要な情報を入力してください。 

注：このセクションの情報は ThinkVantage 指紋認証ソフトウェア専用です。 


第4章 ThinkVantage 指紋認証ソフトウェアでの作業 65 



ログオン-プロテクター設定を変更するには、かのようにします。 

• 「コントロールセンター」を開始する。 

• 「設定」 をクリックする。 

• 「ログオン 設定」をクリックする。 

-ログオン-プロテクターを使用可能または使用不可にする。 

指紋ログオンを使用したい場合は 、 「Windows ログオン認証を通常のパスワード 
認証から指紋認証に置き換える」チェック•ボックスにチェック•マークを付け 
ます。 

注：ログオン•プロテクターを使用可能、または使用不可にするには、再起動が 
必要です。 

-お使いのシステムでユーザーの簡易切り替えがサポートされている場合は、これ 
を使用可能または使用不可にする。 

• (オプション機能）パワーオン•セキュリティーによって認証されたユーザーの自 
動ログオンを使用可能または使用不可にする。 

• Novell ログオン設定を設定する。 Novell ネットワークにログオンする場合は、次 
の設定が使用可能です。 

-活動化 

指紋認証ソフトウェアは自動的に既知のクレデンシャルを提供します 。 Novell 
のログオンが失敗すると 、 Novell Client ログオン画面が表示され、正しいデー 
夕の入力を要ホするプロンプトが出されます。 


-ログオン中の質問 


指紋認証ソフトウェアは Novell Client ログオン画面を表示して、ログオン • 
データの入力を要ホするプロンプトを出します。 


-使用不可 


指紋認証ソフトウェアは Novell ログオンを試行しません。 


認証 

Novell を指紋認証ソフトウェアに引き渡すには、义のステップを実行します。 

し指紋認証ソフトウェアをインストールする。 

2. Novell Netware Client をインストールする。 

3. プロンプトが出されたら、 「はい」 をクリックしてログオンする。 

4. 再起動する。 

5. プロンプトが出されたら、「はい」をクリックして指紋認証ソフトウェアにログ 
オンする。 

6. Novell Netware Client を起動する。 

7. サーバーに対して認証を斤う。 

8. Windows にログオンする。 

9. 再起動する。 
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注： Windows と Novell の認証のおよびパスワードは同じでなければなりませ 
ん。 


ThinkVantage 指紋認証ソフトウ i アのサービス 

ThinkVantage 指紋認証ソフトウエアのインストール後、 upeksvr.exe サービスがシス 
テムに追加されます。起動中に実行が開始されて、ユーザーがログオンしている間 
中、実行が続けられます。 upeksvr.exe サービスは、 ThinkVantage 指紋認証ソフトウ 
エアのコアで、デバイスとユーザーのデータに対してすベての操作を実行します。 
また、すべての生体測定検査の GUI を提供し、ユーザーのデータに対するアクセス 
をセキュアにします。 
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第 5 章 Lenovo Fingerprint Software での作業 

指紋コンソールは 、 Lenovo Fingerprint Software インストール*フォルダーから実す了 
する必要があります。基本的な構文は FPRCONSOLE [USER I SETTINGS ] です。 
USER コマンドまたは SETTINGS コマンドは、どの操作セットを使用するかを指定 
します。完全なコマンドは 「fprconsole user add TestUser 」 のようになります。コマ 
ンドがわからない場合やすべてのパラメーターが指定されていない場合は、短いコ 
マンド-リストがパラメーターと共に表示されます。 

Lenovo Fingerprint Software 、 インストールの説明、管理コンソール、および関連す 
るすべ ての資料は、な下の Lenovo Web サイトで入手できます。 
http :// www . lenovo . com/support 


管理コンソー ル-ツール 

Lenovo Fingerprint Software の管理コンソール • ツールについては、59ページの 
『管理コンソール•ツール』 te 参照してください。 


Lenovo Fingerprint Software のサービス 

注 ： Lenovo Fingerprint Software は、システム上のターミナル•サービスを必要とし 
ます。ターミナル•サービスをオフにすると 、 Lenovo Fingerprint Software で予期し 
ない結果が生じる可能性があります。 

Lenovo Fingerprint Software のインストール後、な下のサービスがシステムに追加さ 
れます。 

• ATService.exe (デフオルトでオン） 


指紋認証システムを使用するには、 ATService . exe サービスをオンにする必要があ 
ります。このサービスは、指紋センサーを使用してアプリケーションからの要求 
を管理します。 


. データ転送サービス（デフォルトでオン) 


データ転送サービスまたは ATService.exe サービスが異常終了する場合 、 Lenovo 
Fingeprint Software は予期どおりに動作しません。 

• ADMonitor.exe (デフオルトでオフ） 

Active Directory 管理をサポートするには、 ADMonitor . exe サービスをオンにする 
必要があります。このサービスは 、 Active Directory から伝搬された変更がないか 
レジストリーをモニターし、ローカルでその変更を反映させます。 
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Lenovo Fingerprint Software の Active Directory サポート 

次の表に 、 Lenovo Fingerprint Software のポリシ'一設定を示します。 


表 31. ポリシー設定 


設定 

説明 

じ nable/disable fingerprint logon 

コンピューターじログインするためじ 
Windows パスワードではなく、指紋を使用す 
るようじ指定します。 

これを使用可能じ設定した場合、さらに使用 
可能または使用不可に設定できる2つの才 
プションがあります。 

• Disable CTRL + ALT+DEL dialog for 
logon interlace 


このオプションを選択すると、ユーザーじ 
Ctrl + Alt + Delete を押してログインするよう 
じ指示する/ッセージがオフじなります。 
(Windows XP でのみ使用可能です） 


• Require non-adimnistrator user logon 
with iingerpnnt authentication 


このオプションを選択した場合、管理者な 
外のユーザーは、指紋を使用したログイン 
のみが可能になります。 

Allow user to retrieve password through 
fingerprint authentication 

これを使用可能じ設定した場合、ユーザー 
は、指紋認証後に 、 Lenovo Fingerprint 

Software でユーザーのアカウントの 

Windows パスワードを表示できます。 

Always show power-on security options 

これを使用可能じ設定した場合、コンピュー 
ターがオンになったとき、ユーザーは、パワ 
ーオン.パスワードとハードディスク-ドラ 
イブ-パスワードではなく指紋センサーを使 
用するようじ選択できます 。 Lenovo 

Fingerprint Software の登録ウィンドウで、登 
録する各指ごとに、パワーオン指紋認証を使 
用可能または使用不可に設定できます。 

Use fingerprint authentication instead of 
power-on and HD passwords 

これを使用可能じ設定すると、パワーオンせ 
よびハードディスク.ドライブのパスワード 
ではなく、指紋認証が使用されます。 

Set number of failed attemps before lock out 

ユーザーがロックアウトされる前じ許可する 
ログオン試行失敗の数を設定し、ユーザーが 
ロックアウトされる期間（秒単位）も設定し 
ます。 

Set inactive timeout 

ユーザーがログオフするまでじ許巧されるシ 
ステムの非活動期間（秒単位）を設定しま 
す。 

Allow users to enroll fingerprints 

これを使用可能じ設定した場合、管理者な外 
0- L ーザ'一は 、 Lenovo Fingerprint Software 
を使用して指紋を登録できます。 
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表化ポリシー設定 f 続き J 


設定 

説明 

Allow users to delete imgerpnnts 

これを使用可能じ設定した場合、管理者《外 
0- L ~ザ'~は 、 Lenovo Fingerprint Software 
を使用して、 R 前に登録した指紋を削除でき 
ます。 

Allow users to import/export fingerprints 

これを使用可能じ設定した場合、管理者 K 外 
のユーザーは 、 Lenovo Fingerpri 址 Software 
を使用して、な前に登録した指紋をインポー 
卜およびエクスポートできます。 

Show/Hide elements in setting tab of 
fingerprint software 

これを使用可能じ設定した場合、 IT 管理者 
は、指紋認証ソフトウェアの設定 GUI を制 
御できます。 
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第 6 章べスト-プラクティス 


この章では 、 Client Security So 山 tion および指紋認証ソフトウエアのベスト•プラク 
ティスを示すシナリオを提示します。このシナリオでは、ハードディスク.ドライ 
ブの設定から始まり、何回かの更新を行い、デプロイメントまでの手順を説明して 
います。 Lenovo および他社製の両方の PC でのインストールを説明します。 


Client Security Solution をインストールする場合のデプロイメント例 

次のセクションでは 、 Client Security Solution をデスクトップとノートブック • コン 
ピューターの両方にインストールする場合の例をいくつか挙げます。 

シナリオ 1 

これは、各製品をかのような仮定のカスタマー要件でデスクトップ PC にインスト 
ールする場合の例です。 

• Administration 

PC の管巧にローカル管埋者アカウントを使用 

• Client Security Solution 

-エミュレーション•モードでのインストールおよび実行 

Lenovo の PC すべてが TPM (セキュリティー-チップ）を備えているわけで 
はありません。 

- Client Security パスフレーズを使用可能に設定 

パスフレーズによって Client Security Solution アプリケーションを保護しま 
す。 

- Client Security Windows ログオンを使用可能に設定 

Client Security パスフレーズで Windows にログインします。 

—エンド.ユーザー-パスフレーズのリカバリー機能を使用可能に設定 

ユーザーが、自分で決めた3 つの 質問に答えることによって、パスフレーズ 
を復元できるようにします。 

-パスワード （XMLscriptPW など）を使用した Client Security Solution XML ス 
クリプトの暗号化 

Client Security Solution 構成ファイルをパスワードで保護します。 

-指紋認証ソフトウェアのインストールはオプション 
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準備マシンでな下を実行します。 

しローカル管理者アカウントで Windows にログインします。 

2. Client Security Solution を、次のコマンドを使用してインストールします。 
tvtcss 83 xxxx.exe /s / v'Vqn " EMULATI 0 NM 0 DE =1" " N 0 CSSWIZARD =1" 


(where XXXX is the build ID ) 

3. コンピューターを再起動し、ローカル管埋者アカウントを使用して Windows に 
ログインします。 

4. な下を実行して、デプロイメント用の XML スクリプトを作成します。 

a . 义のコマンドを実行します。 

"C:¥Prograni Fi 1 es¥Lenovo¥Client Security Solution¥css wizarde.exe" 
/name:C:¥ThinkCentre 

b . な下を実行して、ウィザードで構成を行います。 

1) 「セキュア•ログオン•メソッド」^ 「次へ」をクリックします。 

2) 管埋者アカウント用の Windows パスワード （ WPW 4 Admin など）を入力し 
て、「ホへ」をクリックします。 

3) 管埋者アカウント用の Client Security パスフレーズ （ CSPP 4 Admin など） 

を入力して 、 r Client Security パスフレーズを使用して、 Rescue and 
Recovery ワークスペースへのアクセスを保護する」オプションを選択し 
てから、「次へ」をクリックします。 

4) 管埋者アカウント用の3つの質問に答えてから、「次へ」をクリックし 
ます。質問の例をな下に記します。 

a ) 初めて飼ったペットの名前は？ 

b ) 好きな映画は？ 

C) 好きなスポーツ-チームは？ 

5) 要約を確認し、「適用」を選択して、 XML ファイルを乂の場所に保存し 
ます。 

C :¥ ThinkCentre.xml 

6) 「完了」をクリックしてウィザードを閉じます。 

5. テキスト- エディ ター ( XML スクリプト. エディ ター、または XML 形式をサ 
ポートしている Microsoft Word 2003プログラム）で ThinkCentre . xml ファイル 
を開いて、ドメイン設定へのすべての参照を除去してから、ファイルを保存しま 
す。これじより、スクリプトは、各システムで代わりにローカル•マシン名を使 
用します。 

6. じ评 rogram Files ¥ Lenovo¥Client Security Solution デイレクトリ'一の 
xml _ crypt _ tool . exe ツールを使用して、 XML スクリプトをパスワードで暗号化し 
ます。その際、な下の構文を使用します。 

xml crypt tool .exe C:¥ThinkCentre.xml /encrypt XMLScnptPW 


これでファイルは C :¥ ThinkCentre . xml . enc となり、パスワード XMLScn ’ ptPW で 
保護され、デプロイメント•マシンに追加する準備が整いました。 
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デプロイメント-マシンでな下を実斤します。 

1. ローカル管埋者アカウントで Windows にログインします。 

2. Rescue and Recovery および Client Security Solution を、义の構文でインストー 
ルします。 

setup_tvtrnr40_xxxxcc.exe /s /v"/qn "EMULATIONMODE=r' "NOCSSWIZARD=r' 

(ここで jtxxx はビルドので、 cc は国別コードです。） 

注： 

a . Windows XP では Z 652 ZIXxxxxyy 00. tvt , Windows Vista または Windows 7 
では Z 633 ZISxxxxyy 00 .tvt ( xxxx はビルドの、 yy は国のです）などの 
TVT ファイルが実行可能ファイルと同じディレクトリーにあることを確認し 
ます。同じディレクトリーにない場合、インストールは失敗します。 

b . 管埋者用インストールを実行する場合は、 173 ページの『シナリオ1』 を 参照 
してください。 

3. コンピューターを再起動し、ローカル管埋者アカウントを使用して Windows に 
ログインします。 

4. 先に作成した ThinkCentre . xml . enc フアイルをじ¥のルート*デイレクトリーに 
追加します。 

5. RunOnceEx コマンドを、な下のパラメーターを指定して作成します。 

a . RunonceEx キーの後に0001という新規キーを追加します。义のようになり 
ます。 

HKEY_LOCAL_MACHINE ¥Software¥Microsoft¥Windows 
¥Current Version¥RunOnceEx¥O0Ol 

b . このキーに CSSEnroll というストリング値名を追加します。 

"C:¥Prograni Fi 1 es¥Lenovo¥C 1 1 ent Security Solution¥vmserver.exe" 

C:¥ThinkCenter.xml.enc XMLscriptPW 

6. な下のコマンドを実巧して、 sysprep バックアップ用にシステムを準備します。 

%rr%C:¥Program Fi 1 es¥Lenovo¥Rescue and Recovery¥rrcmd.exe" 
sysprepbackup location=L name="Sysprep Backup" 

その後、システムで sysprep バックアップを斤う準備が整うとな下の出力が表示 
されます。 


■k-k-k-k-k*-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k*-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k 

** Ready to take sysprep backup. ** 

** -k* 

** PLEASE RUN SYSPREP NOW AND SHUT DOWN. ** 

•k* -k-k 

** Next time the machine boots ， it will boot ** 

** to the Predesktop Area and take a backup. ** 

■k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k-k 

7. Sysprep を実行します。 

8. シャットダウンしてから、コンピューターを再起動します 。 Rescue and Recovery 
ワークスペースで、バックアップ処理が開始されます。 

注：「復元が進行中ですが、バックアップが斤われています」というメッセージ 
が表示される場合、バックアップ後にコンピューターをシャットダウンし、再起 
動はしないでください。 

9. これで、 Sysprep のま本バックアップが完了しました。 
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シナリオ 2 

これは、各製品を次のような仮定のカスタマー要件でノートブック-コンピュータ 
一にインストールする場合の例です。 

• Administration 

-旧バージョンの Client Security Solution がインストールされているマシンにイ 
ンストール 

- PC の管巧にドメイン管埋者アカウントを使用 

—すべてのコンピューターに、 BIOS スーパーバイザー•パスワード BIOSpw を 
割り当て 

• Client Security Solution 

- TPM を活用 

すベてのマシンにセキュリティ ー•チップを搭載 
- Password Manager を使用可能に設定 

- Client Security Solution に対する認証として、 ユーザーの Windows パスワ ー 
ドを活用 

-パスワード （XMLscriptPW など）を使用した Client Security Solution XML ス 
クリプトの暗号化 

Client Security Solution 構成ファイルをパスワードで保護します。 

• ThinkVantage 指紋認証ソフトウェア 

- BIOS とハードディスク-ドライブのパスワードを使用しない 
- ThinkVantage 指紋認証ソフトウェアを使用して Windows にログインする 

一定のセルフ.ユーザー登録期間後、ユーザーは、管埋者な外のユーザーの場 
合は指紋を必要とする保護モード-ログオンに切り替えて、デュアル-ファク 
ター認証方式を効果的に実行できます。 

-指紋認証ソフトウェア-チュートリアルの組み达み 

指紋認証ソフトウェア-チュートリアルは、エンド‘ユーザーが、指紋センサ 
一で指紋を読み取る方法について理解を深め、そのアクションの視覚的フィー 
ドバックを確認するのに役立ちます。 

準備マシンでな下を実行します。 

1. 電源オフの状態からコンピューターを始動し、 F 1 を押して BIOS Setup Utility 
に入り、 「 Security 」 メニューに移動してセキュリティー•チップをクリアしま 
す。設定を保存して、 BIOS を終了します。 

2. ドメイン管埋者アカウントで Windows にログインします。 

3. な下を実行して、 ThinkVantage 指紋認証ソフトウェアをインストールします。 

a . f 001 zpz 2001 us 00. exe ファイルを実むして 、 Web ノツケ'—ジから setup . exe フ 
ァイルを解凍します。 setup . exe ファイルが、な下の場所に自動的に解凍され 
ます。 

C :¥ SWTOOLS ¥ APPS ¥ TFS 5.9.2- B 山 ldxxxx ¥ Application ¥0409 (ここで xxxx はビ 
ルドのです)。 
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b . 解凍された setup.exe ファイルをダブルクリックして、画面上の指示に従つ 
て、 ThinkVantage 指紋認証ソフトウェアをインストールします。 

な下を実行して、 ThinkVantage 指紋認証ソフトウェァ•チュートリァルをインス 
トールします。 

a . f 001 zpz 7001 us 00 .exe ファイルを実わして、 Web パッケ'ージから tutess.exe フ 
ァイルを解凍します。 t 山 ess.exe ファイルが、な下の場所に自動的に解凍され 
ます。 

C :¥ SWTOOLS ¥ APPS ¥ tutorial ¥ TFS 5.9.2 Buildxxxx ¥ Tutorial ¥0409 (ここで xxxx 
はビルド ID です)。 

b . tutess.exe ファイルをダブルクリックして、 ThinkVantage 指紋認証ソフトウェ 
ア.チュートリアルをインストールします。 

な下を実行して、 ThinkVantage 指紋認証コンソールをインストールします。 

a . f 001 zpz 5001 us 00 .exe を実む■して、 Web パッケージから fprconsole.exe ファイ 
ルを解凍します。 fprconsole.exe ファイルが、な下の場所に自動的に解凍され 
ます。 

G ¥ SWTOOLS ¥ APPS ¥ fpr_ca が APPS ¥ UPEK¥FPR Console ¥ TFS 5.9.2- 
Buildxxx 评 prconsole (ここで xxxx はビルド ID です)。 

b . fprconsole.exe ファイルをダブルクリックして、 ThinkVantage 指紋認証コンソ 
ールをインストールします。 

Client Security So 山 tion を、次の構文でインストールします。 
tvtcss82_xxxxcc.exe /s /v"/qn N0CSSWIZARD=1 SUPERVISORPW="BIOSpw"" 
コンピューターを再起動し、ドメイン管埋者ァカウントを使用して Windows に 
ログインし、デプロイメント用の XML スクリプトを作成します。 

a . 乂のコマンドを実斤します。 

"C:¥Prograni Fi 1 es¥Lenovo¥Client Security boiution¥css wizard.exe" 
/name:C:¥ThinkPad 

b . な下を実行して、スクリプト例に合わせてウィザードで構成を行います。 

1) 「セキュア•ログオン•メソッド」ぅ「次へ」をクリックします。 

2) ドメイン管埋者アカウント用の Windows パスワード ( WPW 4 Adniin など） 

を入力して、「次へ」をクリックします。 

3) ドメイン管埋者アカウントの Client Security パスフレーズを入力しま 
す。 

4) 「パスワード復元を無効に設定」を選択してから、「次へ」をクリックし 
ます。 

5) 要約を確認し、「適用」をクリックして、 XML ファイルをかの場所に保 
存します。 

C :¥ ThinkPad.xml 

6) 「完了」をクリックしてウィザードを閉じます。 

C : 评 rogram Files ¥ Lenovo¥Client Security Solution デイレクトリ'一の 
xml _ crypt _ tool.exe ツールを使用して、乂のように XML スクリプトをパスワー 
ドで暗号化します。 

コマンド•プロンプトで、かの構文を使用します。 
xml crypt tool .exe C:¥ThinkPad.xnil /encrypt XMLScriptPW 
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これでファイルは C ;¥ ThinkPad . xml . enc となり、パスワード XMLScriptPW で保護 
されます。 


デプロイメント-マシンでな下を実斤します。 

しな下を実行して、 ThinkVantage 指紋認証ソフトウェアをデプロイメント•マシン 
にインストールします。 

a . 準備マシンから取り出した setup.exe ファイルをデプロイメント•マシンにデ 
プロイします。その際、自社のソフトウェア配布ツールを使用します。 

b . かのコマンドを実行します。 
setup.exe CTLCNTR=0 /q /i 

2. な下を実行して、 ThinkVantage 指紋認証ソフトウェア-チュートリアルをデプロ 
イメント•マシンにインストールします。 

a . 準備マシンから取り出した t 山 ess.exe ファイルをデプロイメント•マシンに 
デプロイします。その際、自社のソフトウェア配布ツールを使用します。 

b . 次のコマンドを実行します。 
tutess.exe /q /i 

3. な下を実行して、 ThinkVantage 指紋認証コンソールをデプロイメント•マシンに 
インストールします。 

a . 準備マシンから取り出した fprconsole.exe ファイルをデプロイメント•マシ 
ンにデプロイします。その際、自社のソフトウェア配布ツールを使用しま 
す。 

b . rprconsole.exe ノァつ J レ 住 C;¥Program Mles¥ThmkVantage fingerprint Software 
ディレクトリーに入れます。 

C. 乂のコマンドを実行して、 BIOS パワーオン•セキュリティー•サポートを才 
フにします。 

fprconsole.exe settings TBX 0 

4. な下を実わして、 ThinkVantage Client Security Solution をデプロイント•マシ 
ンにインストールします。 

a . tvtvcss 83_ xxxx.exe (ここで xxxx はビルド ID です）ファイルを、デプロイメ 
ント•マシンにデプロイします。その際、自社のソフトウェア配布ツールを 
使用します。 

b . 次のコマンドを実行します。 

tvtvcss83_xxxx.exe /s /v"/qn "M0CSSWIZARD=1" "SUPERVISORPW="BIOSpw"" 

ソフトウェアをインストールすると、 TPM ハードウェアが自動的に使用可 
能になります。 

5. コンピューターを再起動し、かの手順で、 XML スクリプト-ファイルによるシ 
ステム構成を巧います。 

a . 先に作成した ThinkPad . xml.enc ファイルを、 C ザフォルダーにコピーしま 
す。 

b . かのコマンドを実行します。 

"C:¥Program Fiies¥Lenovo¥Client Security boiution¥ 
vmserver.exe" C:¥ThinkPad.xml.enc XMLScriptPW 

6. コンピューターを再起動すると、システムで Client Security So 山 tion ユーザー登 
録の準備ができています。すべてのユーザーは、それぞれのユーザー ID と 
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Windows パスワードでシステムにログインできます。システムにログインする 
各ユーザーに 、 Client Security Solution への登録を促すプロンプトが自動的に出 
され、登録すると、指紋センサーへの登録ができるようになります。 

7. システムのすべてのユーザーが ThinkVantage 指紋認証ソフトウェアに登録され 
たら、保護モード設定を使用可能にして、 Windows のすベての管埋者な外のユ 
ーザーに、各自の指紋でログインするようホめることができます。 

-保護モード設定を使用可能にするには、乂のコマンドを実行します。 

"C:¥Program Fi 1 es¥ThinkVantage Fingerprint Software¥ 
fprconsole.exe" settings securemode 1 

• 「パスワードを使用してログインするには Ctrl + Alt + Delete を押してください 
(Press Ctrl + Alt+Delete to log in using a password )」 というメッセージをログオ 
ン画面から削除するには、义のコマンドを実行してください。 

"C:¥Program Files¥ThinkVantage Fingerprint Software¥fprconsole.exe settings" 
CAD 0 

8. これで 、 Client Security Solution 8.3 と ThinkVantage 指紋認証ソフトウエアのデ 
プロイメントが完了しました。 


Client Security Solution モードの切り替え 

Client Security Solution モードを「便利なログオン•メソッド」から「セキュア•口 
グオン•メソッド」に切り替えるか、「セキュア-ログオン•メソッド」から「便 
利なログオン.メソッド」に切り替える場合で、システムのバックアップに Rescue 
and Recovery を使用している場合、モードを切り替えた後に新しい基本バックアッ 
プをとってください。 


企業用 Active Directory の展開 

企業用 Active Directory を展開する場合、乂のステップを実行します。 

1 .Active Directory または LANDesk を使用してインストールします。 

a . Active Directory および LANDesk を使用してバックアップを取り、バックア 
ップを取った人物と時点について報告を得ます。 

b . バックアップの作成、バックアップの削除、スケジュール•オプション、お 
よびパスワードの制約事項に関する機能を特定のグループに付与してから、 
グループを変更し、設定が存続するかどうかを参照します。 

C. Active Directory から Antidote Delivery Manager を有効にします。実わする 
パッケージを提供し、報告が取り达まれることを確認します。 


CD またはスクリプト - ファイルのスタンドアロン • インス!ル 

CD またはスクリプト-ファイルのスタンドアロン•インストールの場合、次のス 
テップを実行します。 

1. バッチ-ファイルを使用して Client Security Solution および指紋認証ソフトウエ 
ア-テクノロジーをサイレント•インストールします。 

2. BIOS パスワード-リカバリーをサイレント構成します。 
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System Update 

System Update をするには、次のステップを実巧します。 

し Lenovo サーバーを使う代わりに、大企業がサーバーをセットアップする方法を 
シミュレートしたカスタマイズ済みの System Update サーバーを使って Client 
Security Solution および'指紋認証ソフトウエアをインストールすれば、コンテン 
ツの管理ができます。 

2. 3種類のバージョンの古いソフトウエア（民 escue and Recovery 1.0/2. 0/3.0、指紋 
認証 、 Client Security Solution 5.4-6、 FFE ) を上書きインストールします。古い 
バージョンに上書きして新しいバージョンをインストールする際には、設定を保 
持する必要があります。 


System Miaration Assistant 

System Migration Assistant 6.0 は、古いシステムから最新の Windows 7システムへ 
の移巧、および'旧バージョンの Client Security Solution と指紋認証ソフトウェアの 
ソフトウェア設定の移むをサポートしています 。 System Migration Assistant 6.0 
は、な下の Lenovo Web サイトからダウンロードできます。 
http :// www . lenovo . coin/support 


TPM での鍵生成を使用した証明書の生成 

証明書は Client Security Solution CSP を使用して直接生成でき、証明書内の秘密鍵 
は TPM によって生成され、保護されます 。 Client Security Solution CSP を使用し 
て証明書を要ボするには、次のようにします。 


要件： 

. サーバー.マシンに な下がイ ンス トールされている必要があります。 

- Windows Server 2003 Enterprise な上 
- Active Directory 
-証明機関サービス 

-クライアント.マシンはな下の要件に適合している必要があります。 

- TPM が使用可能になっている 
- Client Security Solution がインストールされている 

サーバーからの 証明書の要 巧 

TPM ユーザーのテン プ レー トの作成 

TPM ユーザー用のテンプレートを作成するには、な下の手順を実行します。 

1. 「スタート」ぅ「ファイル名を指定して実行」をクリックします。 

2. mmc と入力し、 「 OK 」 をクリックします。コンソール•ウインドウが表示され 
ます。 

3. 「ファイル」メニューの「スナップインの追加と削除」をクリックしてから、 
「追加」をクリックします。「スタンドアロンスナップインの追加」ウインド 

ウが表示されます。 
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4. スナップイン*リストで 「証明機関 （Certification Au 比 ority )」 をダフルクリッ 
クし、 「閉じる」 をクリックします。 

5. 「スナップインの追加と削除」ウィンドウで 「 OK 」 をクリックします。 

6. コンソール•ツリーから 「証明書テンプレート」 をクリックします。すべての 
証明書テンプレートが左側の ペイ ンに表示されます。 

7. 「操作」 、 「テンプレートの複製」 をクリックします。 

8. 「表示 名」 フィールドに TPM User と入力します。 

9. 「要求処理」タブで 「 CSP 」 をクリックします。 「サブジェクトのコンピュー 
夕で利用可能な任意の CSP (Requests can use any C 排 available on the 
subject's computers )」 が選択されていることを確認します。 

10. 「全般」 タブをクリックします 。 「Active Directory の記明書を発斤する」 が 
選択されていることを確認します。 

11. 「グループ名またはユーザー名」 リストの 「セキュリティ」 タブをクリック 
し 、 rAuthenticated Users 」 をクリックして 、 「Authenticated Users のアクセ 

ス許可」 オプションで 「登録 （ Enroll )」 が選択されていることを確認します。 

エンタープライズ証明機関の構成 

エンタープライズ証明機関を構成して TPM ユーザー証明書を発行するには、な下 
の手順を実行します。 

1. 証明機関を開きます。 

2. コンソール•ツリーで、 「証明書テンプレート」 をクリックします。 

3. 「操作」 メニューから、 「新規」 , 「発斤する謡明 書 (Certificate to Issue )」 を 

クリックします。 

4. 「 TPM 」 をクリックし、 「 OK 」 をクリックします。 

クライアントからの証明書の適用 

クライアントから証明書を適用するには、な下の手順を実行します。 

1. イントラネットへ接続し、 Internet Explorer を開始して、 CA サービスがインス 
トールされているサーバーの IP アドレスを入力します。 

2. プロンプト•ウィンドウにドメイン-ユーザー名とパスワードを入力します。 

3. 「タスクの選択」の「記 明 書の要ホ」をクリックします。 

4. Web ページの下部にある「記 明 書の要求の詳細設定」をクリックします。 

5. 「証明書の要ホの詳細設定」ページで、な下の設定を変更します。 

• 「詰明 書 テンプレート」 ドロップダウン•リストから 「 TPM ユーザー （TPM 
Us げ)」を選択します。 

• 「 CSP 」 ドロップダウン•リストから 「 Think Vantage Client Security 
Solution CSP 」 を選択します。 

- 「エクスポート可能なキーとしてマークす る」が選択されていないことを確認 
します。 

• 「送信」をクリックし、プロセスに従います。 

-「証明書は発行されました」ページで 「この証明書のインストール」 をクリッ 
クします。「インストールされた証明書」ページが表示されます。 
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2008 ThinkPad ノートブック - コンピユーター-モデル 
(R400/R500/T400/T500/W500/X200/X301 ) での USB 指紋七ンサー付きキ 
ーボードの使用 


Lenovo は、 ThinkPad ® ノートブック*コンピューター.モデルと USB キーボード 
における指紋認証を提供する2つのベンダーと契約しています。2008より前の 
ThinkPad ノートブック.コンピューター•モデル（例えば、 T 61 など）では、 
ThinkVantage 指紋センサーを使用します。2008 ThinkPad ノートブック-コンピュ 
一夕 一. モデル （ T 400な降）では、 Lenovo 指紋センサーを使用します。 Lenovo の 
USB 指紋センサー付きキーボードではすべて、 ThinkVantage 指紋センサーを使用し 
ます。一部の ThinkPad ノートブック.モデル（例えば、外部 USB キーボードを備 
えた ThinkPad T 400 など）で指紋センサー付きキーボードを使用するときには、特 
別な考慮が必要です。 

このセクションでは、最新の ThinkPad ノートブック.コンピューター.モデルに 
インストールされた指紋認証ソフトウェアの一般的な使用法のシナリオとデプロイ 
メントの戦略について説明します。 

注； 

• Lenovo Fingerprint Software 

Lenovo Fingerprint Software は 、 AuthenTec 指紋センサー（例えば、 T 400内蔵の 
指紋センサーなど）のソフトウェアです。 

• ThinkVantage 指紋認証ソフトウェア 

ThinkVantage 指紋認証ソフトウェアは、 UPEK 指紋センサー（例えば、 T 61 内蔵 
の指紋センサー、すべての外部 USB キーボードの指紋センサーなど）のソフト 
ウェアです。 

Windows 7 のログオン 

Windows 7オペレーティング.システムにログオンするときには、随時 、 AuthenTec 
指紋センサーも UPEK 指紋センサーも使用できます。 

1. Lenovo Fingerprint Software バージョン 3.2.0.275 な降をインストールします。 

2. ThinkVantage 指紋認証ソフトウェアバージョン 5.8.2.4824 な降をインストー 
ルします。 

3. コンピューターを再起動します。指紋登録ウィザードが自動的に開始されま 
す。 

4. ThinkVantage 指紋認証ソフトウェアを使用して、外部指紋センサーに指紋を登 
録します。自動的に開始されない場合は、「スタート」，「プログラム」（また 
は「すべてのプログラム」）, 「 ThinkVantage 」 ぅ 「ThinkVantage 指紋認証ソフ 
トウェア」をクリックして、登録を開始します。 

5. Windows パスワードを入力するようにまめられたら入力し、登録する指を選択 
します。 

6. コンピューター画面のプロンプトに従い、外部指紋センサーを使用して指を登 
録します。 

7. ウィンドウの上部にある「設定」をクリックします。 
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8. r Windows にログインするとき、パスワードではなく指紋スキヤンを使用す 
る」 チェック•ボックスを選択し、 「 OK 」 をクリックしてから、 「閉じる」 を 
クリックしてウインドウを閉じます。 

9. コンピューターを再起動し、外部指紋センサーで Windows にログオンするた 
めに指紋を使用できることを確認します。 

10. 指紋の登録を使用して、内蔵指紋センサーで指紋を登録します。自動的に開始 
されない場合は、 「スタート」 4 「プログラム」 （または 「すべてのプログラ 

ム」）ぅ 「 ThinkVantage 」 ぅ 「Lenovo Fingerprint Software 」 をクリックして、 
登録を開始します。 

11. Windows パスワードを入力するようにまめられたら入力し、登録する指を選択 
します。 

12. コンピューター画面のプロンプトに従い、内蔵指紋センサーを使用して指を登 
録します。 

13. ウインドウの上部にある 「設定」 をクリックします。 

14. r Windows にログインするとき、パスワードではなく指紋スキヤンを使用す 
る」 チェック•ボックスを選択し、 「 OK 」 をクリックしてから、 「閉じる」 を 
クリックしてウインドウを閉じます。 

15. コンピューターを再起動し、内蔵指紋センサーで Windows にログオンするた 
めに指紋を使用できることを確認します。 

Client Security Solution と Password Manager 

Windows ログオンとは異なり、 Client Security Solution と Password Manager から 
の認証要ホは、優先指紋センサーでのみ機能します。例えば、指紋センサー付きキ 
ーボードが接続されている場合、その指紋センサーが優先デバイスになります。指 
紋センサー付きキーボードが接続されていない場合は、 ThinkPad 内蔵指紋センサー 
が優先デバイスになります。 

優先デバイスを変更するには、义のようなレジストリー項目を作成します。 

[HKLM¥Software¥Lenovo¥TVT Common¥Client Security Solution] 

REG DWORD "PreferinternalFPSensor"=1 


表 52. レジストリー .キー 


名前 

値 

説明 

PreferinternalFPSensor 

0 (デフオルト） 

指紋センサー付きキーボード 
が接続されているときには必 
ず、外部指紋センサーが優先 
されるように指定します。 

1 

内蔵指紋センサーが優先され 
るようじ指定します。 


プリブート認証 - BIOS パスワードの代わりに指紋を使用する 

Windows ログオンとは異なり、 BIOS パスワードの認証要ホは、 BIOS が使用され 
るようじ構成されているときにのみ、指紋センサーで機能します。デフォルトで 
は、 BIOS は、指紋センサー付きキーボードが接続されている場合、そのキーボード 
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による指紋の読み取りを認識します。指紋センサー付きキーボードが接続されてい 
ない場合、 BIOS は、内蔵指紋センサー•デバイスでの指紋読み取りを認証に使用し 
ます。 

外部指紋センサー付きキーボードが接続されているときでも 、 Reader Priority の 
BIOS 設定を、内蔵指紋センサーを強制的に使用するように変更できます 。 Reader 
Priority のデフォルト値は 「 External 」 です。設定を 「Internal Only 」 に変更して、 
内蔵指紋センサーを強制的に使用することができます。 

注；この BIOS 設定は、 BIOS 上の指紋プロンプトのみに適用されます 。 Windows 
ログオンや Client Security Solution の指紋認証要ボには影響しません。 

プリブー ト 認証を使用可能にするための指紋認証ソフ トウ ェアの構成 

BIOS でスーパーバイザー、パワーオン、またはハードディスク.ドライブ•パスワ 
ードを設定した場合は、これらのパスワードを入力する代わりに、認証に指紋認証 
ソフトウェアを使用するように構成できます。 

Lenovo Fingerprint Software -内蔵指紋センサーの場合： 

1. 「スタート」ぅ「プログラム」（または「すべてのプログラム」） 

ぅ 「 ThinkVantase」 、 I Lenovo Fingerprint Software 」 をクリックし 〔、 Lenovo 
Fingerprint Software を開！!台します。 

2. 指紋を読み取らせるか、または Windows パスワードを入力するようにボめられ 
たら、パスワードを入力します。 

3. ウィンドウの上部にある「設定」をクリックします。 

4. 「パワーオンセキュリティとハードディスクのパスワードではなく指紋スキヤン 
を使用する」チェック•ボックスと「パワーオンセキュリティのオプションを常 
に表示する」チェック-ボックスを選択します。 

5. 「 OK 」 をクリックして、ウィンドウを閉じます。 

6. 登録された指紋の1つを選択して、指紋を使用可能に設定し、 BIOS パスワード 
を置き換えます。 

7. 「閉じる」をクリックして、ウィンドウを閉じます。 

Think Vantage 指紋認証ソフトウェア-外部指紋センサーの場合； 

1. な下のいずれかの方法で、指紋認証ソフトウェアを開始します。 

• 「スタート」4 「プログラム」（または「すべてのプログラム」）， 

「 ThinkVantage 」 ぅ 「 Think Vantage 指紋認詰ソフトウェア」をクリックし 
ます。 

• 「Lenovo Think Vantage Tools 」 ウィンドウで、 「 ThinkVantage 指紋認証ソフ 
トウェア」アイコンをクリックします。 

2. 指紋を読み取らせるか、または Windows パスワードを入力するようにまめられ 
たら、パスワードを入力します。 

3. ウィンドウの上部にある「設定」をクリックします。 

4. 「パワーオンセキュリティとハードディスクのパスワードではなく指紋スキヤン 
を使用する」チェック•ボックスと「パワーオンセキュリティのオプションを常 
に表示する」チェック•ボックスを選択します。 

5. 「 OK 」 をクリックして、ウインドウを閉じます。 
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登録された指紋の 1 つを選択して、指紋を使用可能に設定し、 BIOS パスワード 
を置き換えます。 

「閉じる」をクリックして、ウインドウを閉じます。 
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付録 A . ThinkPad ノートブック • モデルで Lenovo 指紋七ンサ 
一付きキーボードを使用する際の特別な考慮事項 


一部の ThinkPad ノートブック.モデルで使用する指紋センサー.デバイスは、 
Lenovo 指紋センサー付きキーボードで使用する指紋センサー.デバイスと異なりま 
す。一部の ThinkPad ノートブック•モデルで指紋センサー付きキーボードを使用 
するときには、特別な考慮が必要となる可能性があります。 

詳細については 、 Lenovo Web サイトにある指紋認証ソフトウェア.ダウンロー 
ド.ページにアクセスしてください。該当する ThinkPad ノートブック.モデルが 
リストされています。 

指紋センサー付きキーボードと共に使用するときに特別な考慮が必要なのは、 
r Lenovo Fingerprint Software 」 の欄にリストされているモデルのみです。 
「 ThinkVantage 指紋認証ソフトウェア」を使用する他のすべての ThinkPad ノート 
ブック•モデルは、指紋センサー付きキーボードに組み込まれているデバイスと互 
換性のある指紋センサー-デバイスを使用し、特別な考慮は必要ありません。 


設定と七ットアップ 


Lenovo Fingerprint Software 2.0 な降は 、 ThinkPad ノートブックで使用する指紋セ 
ンサ ー. デバイスと共に使用できるようにインストールする必要があります。ユー 
ザーは、内蔵されている指紋センサー•デバイスを使用して 、 Lenovo Fingerprint 
Software じ指紋を登録する必要があります。 

ThinkVantage 指紋認証ソフトウェア 5.8 な降は 、 Lenovo Fingerprint Keyboard と共 
に使用できるようにインストールする必要があります。ユーザーは、その指紋セン 
サー付きキーボードを使用して、 ThinkVantage 指紋認証ソフトウェアに指紋を登録 
する必要があります。 

注：1つのデバイスに登録された指紋を、他のデバイスと交換することはできませ 
ん。 


ワークスペース認証 

ワークスペース認証には、標準装備の指紋センサー-デバイスまたは指紋センサー 
付きキーボードが使用されます（システム電源をオンにする際のパスワードまたは 
ハードディスク-ドライブのパスワードが指紋認証に置き換わります)。システムの 
電源がオンになると、使用するデバイスが BIOS によって決定されます。 

デフォルトでは、 BIOS は、指紋センサー付きキーボードが接続されている場合、そ 
のキーボードによる指紋の読み取りのみを受け入れます。ワークスペース認証の場 
合、指紋センサー付きキーボードが接続されているときには、内蔵されている指紋 
センサー. デバイスによる指紋の読み取りは無視されます。指紋センサー付きキー 
ボードが接続されていない場合は、ワークスペース認証に、内蔵されている指紋セ 
ンサ ー. デバイスが使用されます。 
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「Reader Priority 」 の BIOS 設定を、標準装備の指紋センサーを使用するように変更 
できます 。 「Reader Priority 」 が 「Internal Only 」 に設定されている場合は、ワ'ーク 
スペース認証に、内蔵されている指紋センサーを使用できます。この場合は、指紋 
センサー付きキーボードじよる指紋の読み取りは無視されます。 


Windows のログオン 

Lenovo 指紋センサー付きキーボードおよび ThinkPad ノートブック.コンピュータ 
一-モデルで使用される指紋センサー-デバイスは、登録された指紋で Windows 
にログインするためのインターフェースをそれぞれ独自に備えています。 

重要：指紋ログオン•インターフェースが正しく構成されていない場合は 、 Windows 
のログオン.プロセスで互換性の問題が生じる可能性があります。 

ThinkPad ノートブック.コンピューター.モデルが Lenovo 指紋センサー付きキー 
ボードと内蔵の指紋センサー•デバイスの両方を装備し、かつ Client Security 
So 山 tion がインストールされている場合、指紋認証を使用して Windows 7オペレー 
ティング-システムにログインするにはな下の2つの方法があります。 

-指紋認証ソフトウェアのログオン•インターフェースを使用する 

Lenovo Fingerprint Software と ThinkVantage 指紋認証ソフトウェアの両方のログ 
オン.インターフェースが使用可能でなければなりません 。 Windows 7オペレー 
ティング-システムで両方の指紋ログオン-インターフェースが使用可能になっ 
ている場合は、ユーザーが、指紋センサー付きキーボードと内蔵されている指紋 
センサー. デバイスのどちらかで指紋を読み取らせて、ログインできます。 

• Client Security Solution のログオン.インタ'ー フェ 'ースを使用する 

指紋認証ソフトウェアのログオン-インターフェースの代わりに Client Security 
Solution のログオン.インターフェースを使用できます 。 Client Security Solution 
のログオン•インターフェースを使用して指紋認証により Windows オペレーテ 
ィング-システムにログインする場合、それぞれの指紋認証ソフトウェアのワー 
クスペースの「設定」オプションで指紋認証ソフトウェア•ログオンを使用不可 
にしてから、迎 ent Security Solution の「拡張」メニューの 「セキュリティー.ポ 
リシ ーの 管理」オプシヨンで Client Security So 山 tion のログオン•インターフェ 
ースを構成します。 

注； 

1. BIOS の 「Reader Priority 」 設定は、この状態では適用されません。両方のデバ 
イスが使用可能になっているときには、どちらかのデバイスをログオンに使用 
できます。 

2. Client Security So 山 tion 8.3 な降のみがこの機能をサポ'ートしています。詳し 
くは 、 『Client Security Solution での認証』を参照してください。 


Client Security Solution での認証 

注：次の情報は 、 Client Security Solution 8.3 な降のみに適用されます 。 Client 
Security Solution の従来のバージョンでは、内蔵されている指紋センサー.デバイス 
と指紋センサー付きキーボードとの併用はサポートされていませんでした。 
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Client Security Solution を使用して指紋認証が必要なアクションを実むするときには 
(例えば、 Password Manager を使用して Web サイトにパスワードを自動入力する場 
合など)、ユーザーは、指紋センサー付きキーボードが接続されていたら、指紋をホ 
められたときじ指紋を読み取らせる必要があります。指紋センサー付きキーボード 
が接続されているときには、標準装備の指紋センサー-デバイスによる指紋の読み 
取りは無視されます。指紋センサー付きキーボードが接続されていない場合は、内 
蔵されている指紋センサーを使用する必要があります。 

Client Security Solution での認証に標準装備の指紋センサーを使用するようにユーザ 
一にホめるには、レジストリー設定を使用できます。このレジストリー項目が設定 
された場合は、 Client Security Solution での指紋認証を標準装備のセンサーで行なう 
必要があり、指紋センサー付きキーボードからの指紋の読み取りは無視されます。 

レジストリー項目は义のとおりです。 

[HKLM¥Software¥Lenovo¥TVT Common¥Client Security Solution] 

REG_DW0RD "PreferlnternalFPSensor"=1 

Client Security Solution での指紋認証を標準装備のセンサーで行なう必要があると 
き、上記のレジストリー項目のデフォルト値は0で、指紋センサー付きキーボード 
からの指紋の読み取りは無視されます。 

この設定は、 Client Security So 山 tion の Administrative Template ファイルを Active 
Directory のグループ•ポリシーと共に使用して、変更することもできます。 

注： 

1. BIOS の 「Reader Priority 」 設定が 「Internal only 」 に設定されている場合、レジ 
ストリー項目値を 1 に設定することをお勧めします。これにより、 Client 
Security Solution での認証で、 BIOS ワークスペース認証の設定をシミュレート 
できるようになります。 

2. BIOS 設定とこのレジストリー設定は独立しています。 


付録 A. ThinkPad ノートブック-モデルで Lenovo 指紋センサー付きキーボードを使用する際の特別な考慮事項 89 
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付録 B . Windows パスワードのリ七ット後に Client Security 
Solution でパスワードを同期化する 

Windows パスワードがリセットされた後、 Client Security Solution によって、新し 
い Windows パスワードを入力するように連続して求められますが、パスワードが 
誤っていることを示す エラー •メッセージが表示されます。 Windows セキュリティ 
一はこのような方法で設計されているので、 Windows パスワードがリセットされる 
と、セキュリティー•クレデンシャルが無効になります。パスワードをリセットし 
ようとするたびに、 Windows から警告メッセージが出されます。また、 Windows パ 
スワードのリセットの影響を受けるのは Client Security Solution のみではなく、 
Windows 邸 S によって暗号化された証明書とファイルへのアクセスも失われます。 
Client Security So 山 tion が（パスワードをリセットした結果として） Windows セキュ 
リティ ー*クレデンシャルにアクセスできなくなると、 Client Security So 山 tion は新 
しいパスワードを入力するように連続してホめ、入力されたパスワードが無効であ 
ることを示す エラー •メッセージを表示します。 Windows セキュリティー•クレデ 
ンシャルがこの方法で無効になると、 Client Security Solution は機能できなくなりま 
す。 Windows パスワードが変更されたら（例えば、旧パスワードと新パスワードの 
両方を指定するようにボめられた場合など)、新しいパスワードによってセキュリテ 
ィー-クレデンシャルが保存され、保護されます。 

Windows パスワードのリセット後に CSS でパスワードを同期化するには、义のよ 
うにします。 

1. Windows パスワードをリセットする前にシステムのバックアップを復元しま 
す。 

2. Windows パスワードを元のパスワードにリセットします。これにより、 Windows 
セキュリティー•クレデンシャルへのアクセスが復元されます。 

3. 新規 Windows アカウントを作成し、破損したクレデンシャルを使用した元のア 
カウントではなく、新規アカウントの使用を開始します。 

4. 次の方法に従って、システムをリカバリーします。 

a . Password Manager を起動します。 

b . 「インポート/エクスポート」をクリックし、「項目リストのエクスポート」 

を選がします。 

C. ファイルを保存する場所を指定し、ファイル名を入力します。 

d . 項目ファイルのパスワードを入力します。 

e . Password Manager を閉します。 

f . Client Security Solution を起動します。 

g . 「拡張」ぅ「セキュリティー設定の再構成」をクリックします。 

心新しい Windows パスワードを入力するようにまめられたら、パスワードを 
入力します。 

i . Client Security So 山 tion から、システムを再起動するようにまめられます。 

j . システムが再起動したら、 Password Manager を起動します。 
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k . 「インポート/エクスポート」をクリックし、 
選がします。 

l. な前に保存したファイルを参照します。 

m . パスワードを入力するように求められたら、 


「項目リストのインポート」を 

入力します。 
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付録 C. 再インストールされた Windows オペレーティング•シ 
ステムにおける Client Security Solution の使用 

Client Security Solution がインスト'ールされている Windows オペレーテイング•シ 
ステムを再インストールした場合、その新しくインストールした Windows オペレ 
ーティング • システム上で Client Security Solution を使用するには、 Client Security 
Solution のインストール • データを消去してから、 Client Security Solution を再イン 
ストールする必要があります。 

そのためのベスト•プラクティスは、次のとおりです。 

1. 現巧の Windows オペレーティング • システムから Client Security Solution をア 
ンインストールします。 

2 . コンピューターを再起動します。 

3. レジストリーでな下のデータを消去します。 

• [HKEY_LOCAL_MACHINE¥SOFTWARE¥Lenovo¥TVT Common¥Client Security 
Solution] 

• [HKEY_LOCAL_MACHINE¥SOFTWARE¥Lenovo¥Client Security Solution] 

• [HKEY_LOCAL_MACHINE¥SOFTWARE¥Lenovo¥Logs] 

• [HKEY_LOCAL_MACHINE¥SOFTWARE¥IBM¥Security¥Debug] 

4. C パーティションにある Client Security Solution に関連したデータを消去しま 
す。「フォルダオプション」ウィンドウのすべての隠しファイルを表示するた 
めのオプションを有効にして、 C パーティション全体でデータを検索することを 
お勧めします。その結果、な下の場所に見つかる可能性があります。ただし、こ 
れな外の場合もあります。 

• C:¥Users¥All Users¥Application Data¥Roaming¥Client Security Solution 

• C:¥Users¥%USER%¥AppData¥Roaming¥Lenovo¥Client Security Solution 

5. BIOS Setup Utility でセキュリティー•チップをクリアしてから、な下を実行し 
てセキュリティー-チップをアクティブにします。 

a. コンピューターをシャットダウンします。 

b. コンピューターの電源を入れ、 F1 を押して BIOS Setup Utility に入ります。 
C. 「 Security 」 を選択します。 

d. Enter を押して 、 「Clear Security Chip 」 を選択します。 

e. Enter を押して、 「 Yes 」 を選択し、暗号鍵を消去します。 

f. rSecurity Chip 」 を選択してから Enter を押して、 「 Active 」 を選択しま 
す。 

注： Client Security Solution をハードウェア TPM モードに設定しない場合に 
は、セキュリティー•チップを 「 Disabled 」 に設定します。 

6. コンピューターを再起動し、 Client Security Solution を再インストールします。 

注： Client Security Solution インストール-モードをソフトウェア•エミュレーショ 
ン•モードからハードウェア TPM ベース•モードに変更した場合、またはセキュ 
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リティー • チップをクリアした後 、 Client Security Solution は TPM の変更を檢出す 
ると既存のデータをリカバリーしようとしますが、暗号化データは新しい TPM デ 
一夕によって暗号化解除できないので失敗します。この場合 、 Client Security 
Solution は起動できません。 
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付録 D . 特記事項 


本書に記載の製品、サービス、または機能が日本においては提供されていない場合 
があります。日本で利用可能な製品、サービス、および機能については、レノボ- 
ジャパンの営業担当員にお尋ねください。本書で Lenovo 製品、プログラム、また 
はサービスに言及していても、その Lenovo 製品、プログラム、またはサービスの 
みが使用可能であることを意味するものではありません。これらに代えて、 Lenovo 
の知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサ 
ービスを使用することができます。ただし、 Lenovo な外の製品とプログラムの操作 
またはサービスの評価および検証は、お客様の責任で斤っていただきます。 

Lenovo は、本書に記載されている内容に関して特許権（特許出願中のものを含む） 

を保有している場合があります。本書の提供は、お客様にこれらの特許権について 
実施権を許諾することを意巧するものではありません。実施権についてのお問い合 
わせは、書面にて下記宛先にお送りください。 

Intellectual Property Licensing 
Lenovo い roup Ltd. 

1009 Think Place 
Building One 
Morrisville, NC 27560 
USA 

Attention: Dennis McBride 

Lenovo およびその直接または間接の子会社は、本書を特定物として現さするままの 
状態で提供し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任 
を含む すべての 明示もしくは熟示の保証責任を負わないものとします。国または地 
域じよっては、法律の強行規定により、保証責任の制限が禁じられる場合、強行規 
定の制限を受けるものとします。 

この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的 
に見直され、必要な変更は本書の义版に組み込まれます。 Lenovo は予告なしに、 
随時、この文書に記載されている製品またはプログラムに対して、改良または変更 
を行うことがあります。 

本書で説明される製品は、誤動作により人的な傷害または死 t を招く可能性のある 
移植またはその他の生命維持アプリケーションで使用されることを意図していませ 
ん。本書に記載される情報が、 Lenovo 製品仕様または保証に影響を与える、または 
これらを変更することはありません。本書におけるいかなる記述も、 Lenovo あるい 
は第 S 者の知的所有権に基づく明示または熟示の使用許諾と補償を意味するもので 
はありません。本書に記載されるすべての情報は、特定の環境において得られたも 
のであり、例として提示されます。他の操作環境で得られた結果は、異なる可能性 
があります。 

Lenovo は、お客様が提供するいかなる情報も、お客様に巧してなんら義務も負うこ 
とのない、自ら適切と信ずる方法で、使用もしくは配布することができるものとし 
ます。 
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本書において Lenovo な外の Web サイトに言及している場合がありますが、便宜 
のため記載しただけであり、決してそれらの Web サイトを推奨するものではあり 
ません。それらの Web サイトにある資料は、この Lenovo 製品の資料の一部では 
ありません。それらの Web サイトは、お客様の責任でご使用ください。 

この文書に含まれるいかなるパフォーマンス•データも、管埋環境下で決定された 
ものです。そのため、他の操作環境で得られた結果は、異なる可能性があります。 
一部の測定が、開発レベルのシステムで行われた可能性がありますが、その測定値 
が、一般に利用可能なシステムのものと同じである保証はありません。さらに、一 
部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性があ 
ります。お客様は、お客様の特定の環境に適したデータを確かめる必要がありま 
す。 


商標 

K 下は 、 Lenovo Corporation の商標です。 
Lenovo 

Rescue and Recovery 
ThinkCentre 
ThinkPad 
ThmkVantage 


IBM は 、 International Business Machines Corporation の米国および'その他の国におけ 
る商標または登録商標です。 

Microsoft、Internet Explorer、Windows Server 、 および Windows は 、 Microsoft グル 
ープの 商標です。 

他の会社名、製品名およびサービス名等はそれぞれ各社の商標です。 
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用語集 


暗号化システム （Cryptography system). 暗号化システ 

ムは、データの暗号化と復号の両方を巧う単一の鍵を使 
用する巧称鍵暗号化と、2つの鍵（全員に知られている 
公開鍵と鍵ペアの所有者のみがアクセス権を持つ秘密鍵) 
を使用する公開鍵暗号化に、大きく分類される。 

エンべデッド.セキュリティー.チップ. エンべデッ 
ド • セキュリティー.チップは、 TPM の別名。 

营埋者 （ThinkCentre)/ スーベーバイザー （ThinkPad) 
BIOS ハ•スワード. 管理者パスワードまたはスーパーバ 
イザー•パスワードは、 BIOS 設定を変更する能力を制 
御するために使用される。これには、エンべデッド•セ 
キュリティー-チップを使用可能または使用不可じし 
て、 TPM 内に保巧されたストレージ-ルート鍵をクリ 
アする機能が含まれる。 

公開鍵/ホ対称鍵暗号化 （Public-key/Asymmetric-key 

encryption). 公開鍵アルゴリズムは通常、2つの関連し 
た鍵のペアを巧用する。1つは秘密に保持されなければ 
ならない秘密鍵で、もう一方は公開される鍵で広く配布 
される。鍵が1つあった場合、ペアのもう一方が推測 
できるようであってはならない。「公開鍵暗号化」とい 
う用語は、鍵の一部を公開情報にするというアイデアか 
ら得られる。すべてのパーティーが同じ情報を保持しな 
いことから、非対称鍵暗号化という用語も使用される。 
ある意巧では、1つの鍵がロック（暗号）を「ロック」 

し、別の鍵はそれをアンロック（復号）することを要ホ 
される。 

ストレージ•ルート 鍵 （SRK ). ストレージ•ルート鍵 
(SRK) は2,048ビット（あるいはそれ K 上）の公開鍵ぺ 
ア。これは最初は空で、 TPM 所有者が割り当てられた 
ときに作成される。この鍵ペアは、エンべデッド•セキ 


ュリティー-チップをそのままでは放置しない 。 TPM 
の外部にあるストレージの秘密鍵を暗号化（ラップ） 

し、 TPM じ口ード•バックされたときにそれらを復号 
する。 SRK は、 BIOS にアクセスのある人なら誰でも 
クリアすることができる。 

対あ鍵暗号化 （Symmetric-key encryption ). 巧称鍵暗号 

化暗号はデータの暗号化と復号に同じ鍵を使用する。巧 
称鍵暗号は簡単で高速だが、主な欠点は、2つのパーテ 
ィーが何らかのセキュアな方法で鍵を交換しなければな 
らないことにある。公開鍵暗号化は、公開鍵は非セキュ 
アな方法で配ホ可能であり、秘密鍵は転送されることが 
ないので、この問題を回避している。 Advanced 
Encryption Standard は巧称鍵の一例。 

Advanced Encryption Standard (AES). Advanced 
Encryption Standard はが称鍵暗号化巧法。アメリカ政府 
は、それまで使用していた DES 暗号化に置き換えて、 
このアルゴリズムをその暗号化技法として2000年10 
月に採用。 AES は、凶暴なアタックじ巧して56ビッ 
卜 DES キーよりも高度のセキュリティーを提供する。 
また AES では、必要に応じて口8、192せよび256 
ビット.キーの 使用が可能。 

TPM (Trusted Platform Module). TPM は特別な目的 

を持ってシステム内にビルドされた集積回路で、強力な 
ユーザー認証とマシン検査を可能にする。 TPM の主な 
目的は、機密情報への不適切なアクセスを防止すること 
にある。 TPM はハードウェア•ベースの信頼の基幹機 
能で、システム上のさまざまな暗号サービスを提供する 
ようじ活用することができる。 TPM の別るはエンべデ 
ッド.セキュリティー.チップ。 
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